Säkra produkter är användarvänliga

Tina Lindgren, Cyber Security-expert och doktor inom informationssäkerhet, skriver om vikten av att behandla säkerheten som den viktiga del av produkten den är för användarna. Ett ämne som Tina nu senast föreläste om i samband med den stora Cyber Security-konferensen Paranoia.

När du ska köpa en ”smart” pryl, till exempel en smart träningsklocka så funderar du säkert på vilka funktioner som är viktiga för dig att den har. Du vill kanske att den ska kunna mäta dina löprundor, mäta din puls, ge dig bra statistik kring dina träningspass, kunna koppla upp sig mot en webtjänst i molnet och i en app och visa information där. När du sedan köpt din smarta klocka och den ger dig den funktionalitet du söker så känner du dig nöjd.

Men om sedan klockan visar sig;

  • Inte kunna skydda dina personliga uppgifter som till exempel positionen för vanliga löprundor, tider när du i princip alltid är hemifrån för att träna, din vikt eller vad du nu har i din klocka - utan vem som helst kan komma åt dessa uppgifter om de försöker.
  • Inte kunna skydda de WiFi-lösenord som finns i klockan utan hackers kan få tag i dem och därmed vara ett steg närmare att attackera det som finns på WiFi-nätverken i övrigt, kanske din jobbdator eller hemlarm.
  • Inte kunna skydda sig mot att bli en del av ett botnet som används för att angripa till exempel ett sjukhus.
  • Inte kunna garantera riktighet i den information den visar.

Känner du då att du köpt en användarvänlig klocka?

Säkerheten - en viktig del av produkten

Som informationssäkerhetsexpert så stöter man ofta på inställningen att säkerhet krånglar till produkter och gör den oanvändarvänliga, det suckas och stönas när man försöker se till att produkten också innehåller de säkerhetsfunktioner som behövs för att skydda användaren.

Men förmågorna att;

  • Skydda användarnas personliga information från obehöriga.
  • Skydda från möjligheten att obehöriga kan styra produkten.
  • Skydda mot möjligheten att använda produkten som ett steg i en annan illegal attack, till exempel som spridare av skadlig kod, som en väg in i ett WiFi-nätverk eller som en del i ett botnet.
  • Skydda riktigheten och tillgängligheten av informationen i produkten, som finns där för att se till att användaren kan känna sig trygg och är i hög grad till för att produkten ska vara vänlig mot användaren.

Vi måste börja behandla säkerheten som den viktiga del av produkten den är för användarna, lyft upp förmågorna till samma nivå som övriga funktionella förmågor. Detta blir förstås ännu viktigare när produkterna hanterar kritiska funktioner som till exempel medicinska produkter, produkter i den kritiska infrastrukturen eller fordon. Om hackers kan styra de uppkopplade medicinska produkter vi använder, eller kan uppdatera hur delar av den kritiska infrastrukturens produkter ska fungera, eller ta över kontrollen av en bil du kör, så kan man få sätta livet till för att produkten inte är säker. Det känns inte användarvänligt, så när suckarna kring säkerhet kommer ställ de som suckar till svars om de vill ha osäkra produkter som man inte kan känna sig trygg med!

För att skapa säkra produkter krävs att säkerhet är en integrerad del av utvecklingsarbete där säkerhetsförmågorna får samma status som funktionella förmågor. Det krävs också att utvecklingen sker i en säker miljö så att hackers eller insiders inte kan manipulera produkten under utveckling, notera att i miljön ingår även personerna som jobbar i miljön. De måste ha en säkerhetsmedvetenhet för att inte underlätta dessa manipulationer från hackers eller insiders. Sedan krävs också en säker leverans av produkten och uppdateringar av produkten så ingen manipulation kan ske vid dessa tillfällen.

Det finns inom informationssäkerhetsområdet idag bra metoder, processer och verktyg för att skapa så bra förutsättningar som möjligt för säkra produkter, se till att använda dem så skapar vi en tryggare värld för produkternas användare!