8 oktober 2018

Sakernas internet som säkerhetsrisk

Mängden uppkopplade enheter ökar, liksom riskerna för angrepp mot dem. Enheterna kan vara inbyggda i allt från bilar till pumpar i vattenverk och annan känslig infrastruktur. FOI har på uppdrag av MSB tagit fram en rapport om vad myndigheter kan göra för att motverka dessa risker.

illustration av nätverk

Experter uppskattar att IoT kommer att bestå av mellan 20 och 50 miljarder saker år 2020. Många av dem är uppkopplade till nätet, har oskyddade lösenord och kan vara en inkörsport för angripare. Bild från Pixabay.

Allt fler prylar runt omkring oss kommunicerar. Det samlas in och utbyts information i allt från kylskåp i hemmen till apparater i industrin. Sakernas internet (från engelskans Internet of Things, IoT) kan vara vardagsföremål som spisar, teveapparater, kläder och fordon med inbyggd elektronik och internetuppkoppling. När de innehåller mätutrustning och ställdon för att registrera information eller utföra tjänster finns de ofta även i moderna hus, smarta elnät, intelligenta transport- och vattensystem samt andra industriella tillämpningar. Risker i sådana infrastrukturer är utmaningar för hela samhället.

– Det finns olika typer av risker med IoT. Angrepp mot enskild utrustning kan förstås orsaka stor skada. Forskare har till exempelvis visat hur man kan ta kontrollen över en modern bil via trådlöst nät. Likaså finns sårbara punkter i sjukhusutrustning, som pacemakers och pumpar för att dosera medicin. Det säger Vidar Hedtjärn Swaling, förste analytiker vid FOI, som skrivit rapporten ”NCS3 Studie - IoT-relaterade risker och strategier” tillsammans med Jessica Johansson. Han fortsätter:

– Lyfter man upp det till samhällsnivå kan intrång via IoT-enheter leda till att angripare får kontroll över viktiga processer inom exempelvis värme, vatten, el, transport eller finansiella tjänster. Det skulle till exempel kunna handla om ett uppkopplat ställdon till en pump i ett vattenverk.

Oskyddad IoT kan användas till allt från stöld av information, spionage, sabotage och utpressning till att undergräva tilltron till system och samhällsfunktioner. Det handlar alltså om IoT-utrustning som mål eller medel för angrepp, eller för att förstärka angrepp, som exempelvis överbelastning av datorsystem.

Designade utan säkerhet

Vilken är då de största riskerna med IoT?

– Ett av problemen är den stora mängden produkter med bristande skydd. En systemägare kanske inte ens känner till att de har utrustning som är nåbar via internet. Många av dessa produkter har standardlösenord som är lätta att komma över. Ofta är de inte designade med hänsyn till säkerhet alls och det fysiska skyddet är i allmänhet svagt.

Förutom förebyggande insatser föreslår rapporten – som är beställd av Myndigheten för samhällsskydd och beredskap, MSB – även vaksamhet när det gäller olika former av informationsläckage. Det beror på att informationen i sig kan vara inkörsporten till en attacksekvens som i värsta fall kan hota samhällsviktiga funktioner.

– Mycket av säkerhetsarbetet handlar om att skydda kritiska IT-system och processer eftersom det är där IoT-attackerna kan få riktigt allvarliga konsekvenser. Det gäller också att se till att saker inte är uppkopplade i onödan, att byta lösenord ofta och att alltid ha de senaste säkerhetsuppdateringarna.

Rapporten bygger på studier av vetenskapliga artiklar kring risker med IoT. Målet har varit att inventera, sortera och sammanställa de risker med IoT som beskrivs och utifrån dessa beskriva möjliga sätt för MSB att verka för ökad säkerhet.

  • Förebyggande insatser mot bristfällig hantering av lösenord samt fysisk exponering.
  • Vaksamhet mot olika former av informationsläckage är viktigt eftersom informationen kan vara inkörsporten till en längre attacksekvens.
  • IoT-produkter bör levereras med säkra lösenord och enheter ska inte vara uppkopplade i onödan.
  • Normalt IT- och processäkerhetsarbete är viktigt eftersom det är via IT-system och processer som IoT-angrepp kan få riktigt allvarliga konsekvenser.
  • Rapporten rekommenderar även transparens inom IoT, att syftet med uppkopplingen är tydligt och att information om händelser och sårbarheter delas mellan organisationer utan att affärshemligheter röjs.