Blir skremt av informasjon om industriell IoT-sikkerhet

Mange er vettskremte for sikkerhetsrisikoen knyttet til industriell IoT. Det mener IoT-forretningsutvikler Johan Jeppsson at det er liten grunn til å være. Få oversikt over IoT-enhetene dine og lag et sikkerhetsopplegg for dem, råder han.

– Dersom du hører på et foredrag om IoT kan du være nesten sikker på en god stund går med til å skape uro rundt sikkerheten, mens lite blir sagt om løsningene. Det skaper unødvendig uro og usikkerhet hos folk, sier Jeppsson, IoT Business Developer i Orange Business Services som Orange Business Services er en del av.

IoT, Internet of Things, tingenes internett  på norsk, blir en del av stadig flere virksomheters forretningssystemer. Jeppsson mener at det blir brukt for lite tid på å løse på sikkerhetsutfordringene på IoT-feltet.

– Her som på andre sikkerhetsområder gjeler å analysere situasjonen og ta en kalkulert, levelig risiko, sier han.

Han legger til at om man skal forbedre IoT-sikkerheten må man starte med å få en oversikt over virksomhetens IoT-enheter. Dernest må de inn i et sikkerhetsopplegg.Les mer om IoT og Industri 4.0

Liste over IoT sikkerhetsutfordringer

Jeppsson er IoT Business Developer i Orange Business Services som Orange Business Services inngår i.

Han lister opp følgende problemstillinger for dings-sikkerheten:

  • Enheter uten innebygde muligheter for sikkerhet
  • Enheter med innebygd sikkerhet, men som ikke lar seg oppdatere
  • Manglende beskyttelse mot overtakelse av tredjeparter ved installasjon av programvare
  • Tredjeparter kan overta og sende deg falske data
  • Enheter kan bli brukt i DDoS-angrep mot deg eller andre
  • Mangelfull oversikt over IoT-enheter gjør virksomheter utsatt. Angrep kan da skje mot enheter som de ikke har kjennskap til
  • Enheter er vanskelig fysisk tilgjengelig geografisk/monteringssted (høyt oppe e.l.). Kostnadene ved å få kontroll med dem kan bli store dersom de ikke lar seg fjernoppdatere

Kanskje ikke overraskende anbefaler han å skaffe seg oversikt som et første steg til bedre sikkerhet. Det er bare å sette i gang å lete og kartlegge, enten det er etter fysiske dingser eller enheter som er koblet til ulike gateways med wifi, Bluetooth, Zigbee, Zwave, 4G eller andre kommunikasjonsprotokoller.Få tips til IT-sikkerhet

Fra enheter til databehandling

– Når oversikten er på plass, gjelder det å etablere et sikkerhetsopplegg som spenner fra enhetene selv til behandlingen av dataene, sier han. Han tror mange vil oppdage enheter som oppfyller funksjoner riktig, men som ikke er sikre.

– IoT bør være en del av bedriftens øvrige sikkerhetsregime. Da kan forvaltningen bli ivaretatt helhetlig.

Noen enheter må trolig ut fordi man verken har eller kan få kontroll med dem. For eksempel støtter kanskje ikke eldre versjoner av kommunikasjonsprotokoller beskyttelse mot ulovlig prosessering av programvare. Ny teknikk må da inn som ivaretar dette bedre.

– Enhetene fungerer kanskje fint. Men, dersom tredjeparter overtar dem og sender deg feil data kan det gå ut over beslutninger, liv og helse, sier han, og nevner et eksempel hvor hackere via IoT-enheter kom i inngrep med styringssystem for anrikning av uran for atomreaktorer.

– I et hjem kan kanskje det ultimate utfallet av et hack være at lysene dine blir slått av vilkårlig. Atomreaktorer illustrerer hvor alvorlige konsekvensene kan bli i industriell sammenheng.

En annen veldig praktisk og fysisk årsak til at enheter kommer ut av kontroll, er at de er montert utenfor rekkevidde høyt på en fasade, oppunder et tak eller innenfor lås hvor nøkkelen er borte. Når slike enheter ikke er mulig å oppgradere uten fysisk kontakt, blir det fristende å la dem henge.

– Fiks det, lei en lift, sørg for enklere oppgradering og gjerne også riktig autentisering i forhold til ulike datasikkerhetsplattformer, sier Jeppsson.

Tenk tjenesteforvaltning

Han forklarer at det er lurt å velge leverandør som kan supportere enheter over lang tid. Serviceavtaler kan bidra til å opprettholde sikkerheten.

– Du må se på IoT-porteføljen som en tjeneste, ikke bare som hardware, for å kunne opprettholde funksjon og sikkerhet over tid. Noen må faktisk ta eierskapet til ansvaret.