IoT-säkerheten måste omvärderas

När jag pratar med kunder om IoT (Internet of Things) är det lätt att känna av deras entusiasm. Samtidigt känner jag ofta en stor osäkerhet inför hur de ska hantera IT-säkerheten. I nyheterna påminns vi ofta om dessa utmaningar. En grupp säkerhetsforskare lyckades nyligen ta över många av systemen i en Jeep Cherokee och för inte så länge sedan orsakade hackers massiva skador i ett stålverk i Tyskland.

För att undvika att något liknande händer igen måste vi förstå de speciella begränsningarna med IoT-system och varför vi inte kan ta till våra ”gamla vanliga” säkerhetslösningar. Efter att ha diskuterat frågan med flera av våra kunder kan jag sammanfatta dessa utmaningar så här:

  • Begränsade resurser i form av både systemprestanda och tillgång till el: Små specialiserade enheter som också ofta är batteridrivna gör att man noggrant måste avväga exakt vilka säkerhetsfunktioner som ska implementeras. Dessutom har systemen ofta väldigt lång planerad livslängd. När jag jobbar med IoT eller inbyggda system brukar jag tänka på Pixars science fictionfilm Wall-E, det är precis så jag föreställer mig dem.
  • Omogna säkerhetslösningar och ingen etablerad standard: Eftersom IoT är så pass nytt så finns helt enkelt inga beprövade säkerhetslösningar för IoT-system, till exempel för hur man autentiserar edge-enheter eller hur man bör uppnå spårbarhet i AdHoc-nätverk.
  • Fysisk tillgång: Ett nygammalt problem som har aktualiserats inom IoT är att angriparen har tillgång till systemet på ett helt annat sätt än vi är vana vid, antingen rent fysiskt eller logiskt genom det trådlösa nätverket. Min hemstad Stockholm har till exempel ställt ut intelligenta soptunnor i några av parkerna vilka får utstå flera olika former av attacker.

Innan jag ger mig i kast med att designa hur man ska bygga ett säkert system är jag alltid noggrann med att kartlägga vilken säkerhet som faktiskt behövs. Sökandet efter den optimala säkerhetsnivån går oftast till så här:

  • Verksamhetsanalys: man kartlägger hur systemet ska användas och dokumenterar det i en serie av användarfall. Verksamhetsanalysen resulterar i att säkerhetskrav kan formuleras, baserat på hur systemet ska användas.
  • Informationskartläggning: man konstaterar helt enkelt, baserat på hur systemet ska användas, vilken information som måste finnas i det. Detta gör även att man kan identifiera legala krav. Säg att systemet innehåller personuppgifter, då vet man att det måste uppfylla PUL.
  • Hotanalys: man identifierar tänkbara hot och utifrån denna formuleras en serie med krav för att dem. Det här är något som ofta glöms bort, DN skrev till exempel förra året om en kyrka som hade kopplat upp sina kyrkklockor mot Internet utan en tillräckligt bra autentisering. Då har man inte tänkt igenom vilka hot som tillkommer när sakerna ansluts till Internet.
  • Förtroendemodell: listar på ett relativt enkelt sätt hur man kan etablera förtroende för systemet, dvs. hur säkra olika delar av systemet behöver vara för att man ska kunna lita på dessa och systemet som helhet.
  • Säkerhetsmål: förtroendemodellen och alla identifierade krav sammanställs för att beskriva vilka säkerhetskrav som systemet behöver uppfylla och varför.

Sedan är det dags att ta fram en Säkerhetsarkitektur dvs nu tar själva designarbetet vid, där jag tillsammans med kundens IT-arkitekter försöker komma fram till och beskriva hur man ska uppnå säkerhetskraven på ett effektivt sätt.

Mer om mitt säkerhetsarbete inom IoT kan du läsa i Combitechs magasin Combined med tema IoT, där finns en längre version av artikeln.