Social Engineering

IoT-sikkerhed i Build 4.0

Nyt projekt skal hjælpe virksomheder i at identificere og håndtere de trusler, der kan opstå i forbindelse med  nye IoT, Smart Home og Smart Building-løsninger – også kendt under betegnelsen Build 4.0.

Projektet, som Alexandra Instituttet deltager i, har til formål at fremme udviklingen af skabe sikre IoT-produkter. Sagerne om de dårligt sikrede produkter står nemlig i kø og tæller bl.a. My Friend Cayla-dukken og GPS-ure til børn, som kunne hackes. De eksempler kan du læse mere om i denne e-bog. Det nye projekt har særligt fokus på IoT, men vil også beskæftige sig med Smart Home og Smart Building-løsninger.

30 milliarder enheder forbundet til internettet

I 2020 forventes det, at der vil være 30 milliarder enheder forbundet til internettet. Produkterne bliver en vigtig del af vores samfund og hverdag. De gør det muligt og lettere at udbrede smarte enheder og smarte tjenester. Det gør, at vi kan realisere potentialet i Smart Home, Smart Buildings og Smart Society. De mange enheder kan dog udgøre en risiko i form af udfordringer for sikkerhed og privatliv. Mange af enhederne har personlige oplysninger om os, og nogle af IoT-produkterne kan være sårbare og have svagheder i forhold til et potentielt hackerangreb.

Virksomhederne skal derfor udstyres med værktøjer, så de selv bliver i stand til at lave en trusselsvurdering af deres IoT-produkt. Og her kan flere metoder være brugbare. Dem kommer vi til senere.

Start med de grundlæggende sikkerhedsspørgsmål

Inden trusselsvurderingen er det nemlig nødvendigt, at virksomhederne stiller sig selv nogle grundlæggende spørgsmål om deres produkt:

  • Hvad er vigtigst omkring produktets sikkerhed og hvorfor? Og hvad betyder det, at et produkt er sikkert? Er det f.eks. vigtigt, at data fra produktet er hemmelige?
  • Kan produktet bruges til angreb på andre ting? Eller kan produktet lække forretningsmæssige data om producenten?
  • Er det sikkert nok i forbrugerens hænder, så hun ikke risikerer at få sine personlige oplysninger hacket? Og hvad er sandsynligheden for, at nogen overhovedet angriber vores produkt?

Spørgsmålene er mange, men er enormt vigtige at stille i starten af et udviklingsprojekt, påpeger it-sikkerhedsekspert Gert Læssøe Mikkelsen fra Alexandra Instituttet. Det er vigtigt at skabe en fælles forståelse i virksomheden om IoT-sikkerhed og en kultur om, at it-sikkerhed er vigtigt og derfor bør have et centralt fokus i produktet.

Behovet for at få virksomheder til at tænke IoT-sikkerhed er altså klart tilstede. Og metoden der bl.a. kan hjælpe er Attack Tree.

Attack Tree tager dig fra mavefornemmelse til facts

“Attack Tree er en formaliseret metode til at vurdere, hvilke trusler der er. Du går fra at have en mavefornemmelse af, at dit produkt kan have visse svagheder til at vide, hvad de er. Attack Tree er en rigtig god metode for virksomhederne at bruge – før de går i gang med at lave produktet. Og når de så kender trusselsbilledet, kan de målrettet gå efter den rette kryptografi,” siger Gert Læssøe Mikkelsen.

Projektet vil benytte kendte krypteringsværktøjer, der skal hjælpe med at afdække, hvordan værktøjerne kan blive brugt ift. smarte produkter og smarte hjem.

En af disse metoder er Multiparty Computation, der gør det muligt at bruge data på tværs af organisationer uden at dele data med f.eks. konkurrenten, fordi den forbliver krypteret.

“Det kan være, at to konkurrerende producenter ikke er interesseret i at få delt deres forretningshemmeligheder om netop deres IoT-produkt. Her er Multiparty Computation god, da teknologien gør det muligt at dele og lave beregninger på data, mens de stadig er krypterede for den anden part,” siger Gert Læssøe Mikkelsen.

Læs mere her

Projektet er finansieret af innovationsnetværket Infinit og vil starte i februar 2018. Projektets partnere tæller, ud over Alexandra Instituttet, også virksomhederne Nilfisk, Neogrid Technologies, Seluxit, Xtel Wireless og Aalborg Universitet.