NCS3 Studie - IoT-relaterade risker och strategier
Publiceringsdatum: 2018-06-27
Rapportnummer: FOI-R--4591--SE
Sidor: 62
Skriven på: Svenska
Nyckelord:
- Internet of Things
- attackvektorer
- risker
- strategier
- myndigheter
Sammanfattning
Denna studie identifierar och analyserar risker relaterade till Internet of Things (IoT), samt föreslår strategier för att motverka och begränsa dem. Strategierna riktas i första hand till MSB och andra myndigheter. Till grund för analysen ligger en studie av vetenskapliga skrifter. Analysen görs med hjälp av ett ramverk baserat i riskanalytisk metod. De element som ingår i ramverket är skyddsvärden, sårbarheter, attackvektorer, risker och strategier. Attackvektorerna beskrivs på en djupare teknisk nivå än de andra delarna och har därför lagts i en bilaga. Slutsatserna är att MSB i sitt IoT-säkerhetsarbete särskilt bör: 1. Verka för en riskhantering där förebyggande insatser riktas mot a. sårbarheter såsom bristfällig hantering av lösenord samt fysisk exponering b. informationsstöld och sekretessbrott, eftersom de kan vara ett första steg i en attacksekvens som i värsta fall hotar samhällsviktiga funktioner. 2. Förespråka ett konservativt förhållningssätt i termer av "security by design", t.ex. att produkter ska levereras med säkra lösenord samt att enheter inte ska vara uppkopplade i onödan. 3. Prioritera ordinärt IT- och ICS-säkerhetsarbete eftersom det är i dessa domäner som de relevanta konsekvenserna manifesteras. 4. Verka för transparens inom IoT där syftet med uppkopplingen kommuniceras och där information om händelser och sårbarheter kan delas utan att kommersiella incitament äventyras. MSB bör också försöka bidra till en aktuell bild av vilka de potentiella sårbarheterna faktiskt är, vilka av dessa som faktiskt exploateras, som faktiskt leder till allvarliga konsekvenser och vilka aktörer det är som drabbas eller på annat sätt är involverade i attackerna.