Tingenes internett kan reddes
De smarte dingsenes inntog er blitt kalt en tikkende bombe for IT-sikkerheten. Men viten som alt finnes, kan avverge smellet.
Alle biler lar seg hacke, ifølge anerkjent ekspert. I folks boliger kan nye Barbie-dukker bli spioner. Og på internett ligger overvåkingskamera og termostater til flere hytter og hjem åpent tilgjengelig.
Dette er eksempler fra utallige avisoppslag som alle viser det samme: at mange leverandører av dingser til nyskapningen tingenes internett, glemmer at de nå er IKT-selskaper.
Derfor tenker de heller ikke på datasikkerhet.
Les også: NTNU samarbeider med politiet om cyberkriminalitet
Flom av sikkerhetshull
Tingens internett er den teknologien som gjør at gjenstander kan samle, registrere og analysere data, for så å sende disse seg imellom via internett. Med slike ferdigheter kan maskiner og dingser ta seg av arbeid som mennesker tidligere utførte. Pluss oppgaver som det før ikke var mulig å gjøre.
Dette har gjort livet lettere for mange og spart samfunnet for store summer. Samtidig har en flom av observerte sikkerhetshull fått flere til å frykte at fremtidens smarte hus, byer og transport blir et eldorado for hackere.
Men midt oppe i dette, finnes et grunnlag for å spre litt optimisme også.
Les også: Dette er blokkjeder uegnet til
Mye sikkerhetskunnskap finnes
Mange av sikkerhetshullene i tingens internett har nemlig samme årsak. Produkter som aldri var utviklet for å “snakke” med hverandre, utstyres plutselig med programvare og internett-oppkobling. Dette uten at produktutviklerne har hatt forutsetninger for å vurdere datasikkerhet og personvern i tilstrekkelig grad.
Men tradisjonell IKT-industri har mye relevant sikkerhetskunnskap å “låne bort”. Og viktige deler av denne er det enkelt å tilegne seg for nykommere.
Les også: Hackerne fant akilleshæl
Nyttig topp 10-liste
Mye vil vinnes om systemutviklere som ikke kan så mye om sikkerhet, tar fatt i “topp 10-listen” over kjente sårbarheter i web-oppkoblede datasystemer. Deriblant disse tre:
- Manglende vern mot ondsinnede SQL-forespørsler. SQL står for Structured Query Language og er et spørrespråk for databaser. Om datasystemer mangler en gitt kontrollfunksjon, kan angripere trenge gjennom ved å skrive inn SQL-forespørsler i stedet for brukernavn. På den måten kan de eksempelvis få ut en oversikt over alle brukerne av systemet. Til vern mot slikt, trenger systemet en funksjon som dobbeltsjekker at brukerens “inngangsbillett” er gyldig.
- Fenomenet “broken authentication”. Noen datasystem gjør det lett for en angriper å logge seg på som en bruker, uten å kjenne dennes passord. Noe liknende kan skje om en kunde er innlogget i en nettbutikk og så kopierer/videresender lenken til bekjente. Er lenken av en viss art, kan mottakeren handle med kundens kredittkort. Sikker datautveksling mellom dingser, krever datasystemer som gjøres i stand til å gjenkjenne og avvise alle varianter av slike koder.
- For dårlig beskyttelse av sensitive data. Det høres utrolig ut, men i 2018 lagrer mange datasystem fortsatt passord ukryptert. Om et slikt system i tillegg er sårbart for SQL-forespørsler (se første kulepunkt), kan en angriper stjele passordene til alle brukerne av systemet. Kryptering av passord må derfor være et minstekrav til alle som utvikler produkter for tingenes internett.
Kan bli stilt til ansvar
Utfordringen som gjenstår, er å klarlegge hva som skal til for å motivere – eventuelt tvinge – produsenter av alle smarte gjenstander til å ta cybersikkerhet på alvor. I det minste bør de gjøres oppmerksomme på ett forhold: at de som IKT-leverandører i fremtiden kan bli stilt til ansvar for produktets sikkerhet gjennom hele dets levetid – et krav som allerede stilles til bilindustrien.
Dette til forskjell fra hva mange leverandører av dingser tidligere har vært vant til: å reagere kun hvis den leverte varen går i stykker.
Les også: Tingenes internett nærmer seg
Fremtidig konkurransefortrinn
Et viktig første skritt vil være å løfte alt ansvar for cybersikkerhet vekk fra brukerne. For eksempel ved å tvinge dem til å lage egne passord som erstatning for produsentenes standardpassord.
Håpet er at fremtiden vil gjøre cybersikkerhet til et viktig konkurransefortrinn for alle produkter som inngår i tingenes internett. En slik utvikling vil nemlig også tvinge frem økt satsing på sikkerhetsfag innenfor IKT-utdanningen, noe tingenes internett etter hvert vil stå og falle med.
Les også: Medisinsk utstyr kan hackes
Artikkelen sto første gang i Dagens Næringsliv fredag 19. oktober og gjengis her med DNs tillatelse.