Nils Christian Roscher-Nielsen i Northern.tech.
Nils Christian Roscher-Nielsen i Northern.tech. (Foto: Eirik Tangeraas Lygre)
EKSTRA

IoT-sikkerhet

Innen 2020 kan vi få 50 milliarder IoT-produkter: Norsk oppstart hjelper gigantselskaper med datasikkerheten

– En kjempeutfordring, sier Datatilsynet om personvern i nye IoT-produkter.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

For tre år siden demonstrerte hackere at det var mulig å overta kontrollen av en kjørende Jeep Cherokee. Med en sjåfør fra magasinet Wired som prøvekanin, satte hackerne temperaturen på bunn, radioen på full guffe, og sperret sikten med vindusspylervæske. Ikke minst kunne de fjernstyre både bremser og styring, og slik styre bilen ut i grøften.

Eksperimentet førte til at Chrysler måtte tilbakekalle 1,4 millioner biler for å fikse feilen. Nylig demonstrerte forskere fra KU Leuven-universitetet i Belgia hvordan man kan klone nøkkelbrikken til en Tesla S, og kjøre avgårde.

Framveksten av Tingenes internett (IoT) har ført til en rekke lignende problemer. 

Problemene oppstår typisk når produsentene ikke har gode nok løsninger for å installere sikkerhetsoppdateringer. Det skyldes at IoT-enheter ofte har store begrensninger hva gjelder vekt, pris og størrelse. Sikkerhet kommer dermed i andre rekke.

Dette er farene

Det anslås at mellom 26 og 50 milliarder IoT-enheter vil være online innen 2020.

Disse samler inn data om en rekke aspekter i et individs liv. Kanskje aller mest invaderende er enhetene som integreres i menneskekroppen.

Alle disse enhetene trenger stadige oppdateringer for å legge til nye funksjoner, rekonfigurere, fikse bugs i fastvaren, eller for å erstatte svake kryptografiske algoritmer eller nøkler. 

Bugs i fastvaren åpner for at uvedkommende kan få direkte tilgang til enheter, og mulighet for å aktivere og lagre sensordata. Eksempler er kameraer, lydopptak, stemme-kontrollerte enheter og leker.

Nye, smarte kjøleskap kan potensielt hackes, og bli del av for eksempel et bitcoin-produserende botnett.

Mange IoT-enheter vil dessuten inneholde omfattende informasjon om daglige rutiner, oppførsel og vaner, spesielt om de er plassert i hjemmet. 

Datatilsynet bekymret for utviklingen

Digi.no har snakket med fagdirektør for teknologi i Datatilsynet, Atle Årnes, om den nye utviklingen.

Datatilsynet arbeider med denne problematikken internasjonalt i den såkalte «Berlingruppen», også kjent under det mer tungvinte navnet «International Working Group on Data Protection in Telecommunications». 

Det kan virke som datasikkerhet nedprioriteres av IoT-produsenter til fordel for andre hensyn. Mener Datatilsynet at personvernet er godt nok ivaretatt her?

Atle Årnes er fagdirektør for teknologi i Datatilsynet. Bilde: Hans Fredrik Asbjørnsen

– Det gjør vi nok ikke, og det er nok heller ikke det første de tenker på de som produserer dette. Pris står trolig mer sentralt, og oppdatering av fastvaren kommer i andre rekke, mener Årnes.

Det anslås en enorm vekst i antall IoT-produkter framover. Er det en utvikling Datatilsynet er bekymret for?

– Det er klart at dette er en kjempeutfordring. Derfor har vi et veldig stort fokus på dette og såkalt «privacy by design» i håndteringen av den nye Personopplysningsloven.

– Det blir helt klart utfordrende å få disse produktene til å tilfredsstille det nye lovverket, spår Årnes.

Norsk oppstart i medvind

Norske Northern.tech jobber med å finne løsninger på problemet. På kundelisten står gigantselskaper som LinkedIn, DHL, Huawei, Samsung og den amerikanske marinen. 

Ett av prosjektene deres, Mender, ble nylig bevilget to millioner euro gjennom EUs forsknings- og innovasjonsprogram Horizon 2020. Helt konkret gjør løsningen det mulig å oppdatere programvare «over-luften» (OTA), eller over TCP/IP-nettverk.

– Mender er tilgjengelig gratis, og basert på åpen kildekode. Den tas i bruk i veldig høyt tempo, forteller Nils Christian Flinder Roscher-Nielsen fra Northern.tech, som har kontor på Startuplab i Oslo, og i California. 

(Saken fortsetter under)

 Northern.tech har kontor på Startuplab i Oslo, Norges største teknologi-inkubator. Foto: Startuplab

Et mer historisk prosjekt er CFEngine, som ble grunnlagt av Mark Burgess i 1994. Først som akademisk prosjekt til intern bruk, siden videreutviklet med åpen kildekode. 

– CFEngine derimot er en løsning for å administrere storskala server-infrastruktur. Den ser til at serverene kjører rett versjon av programvaren, at kun de rette brukerne har tilgang, og at maskiner som ikke skal ha tilgang til hverandres data ikke har nettopp det, sier Roscher-Nielsen. 

– En styrke at teknologien er tilgjengelig og åpen

Mye av formålet med CFEngine er å gi innsikt i hvor man bør oppdatere og hvilke maskiner som er nede, eller har ulike former for ressursproblemer. 

– Disse produktene løser på mange måter samme problem, men i ulike typer maskiner og infrastruktur. For selskaper som leverer IoT-produkter er det naturlig å også bruke CFEngine til å sikre back-end-infrastrukturen sin, slik at Mender og CFEngine danner en helhetlig sikkerhetsløsning, mener Roscher-Nielsen. 

 Fokuset på at løsningene skal baseres på åpen kildekode står helt sentralt for bedriften.

– Det er kjempeviktig at det er åpen kildekode. Da kan man gå etter i sømmene, og man får en annen tillit når kunder har tilgang til kildekoden. Når så mange har tilgang får vi vite det når vi gjør noe feil, sier Roscher-Nielsen. 

– Mange bedrifter er redde for å gi andre sin kildekode, men jeg tror fundamentalt at det er en styrke at teknologien er tilgjengelig og åpen, føyer han til.

Kommentarer (0)

Kommentarer (0)
Til toppen