Vet du hur säkra dina smarta produkter är?

Vi omger oss med fler och fler smarta produkter. Internet of Things har blivit ett vardagsbegrepp. Men vad innebär det egentligen att våra klockor, gräsklippare eller ugnar är uppkopplade mot nätet? Och hur medvetna är producenterna och konsumenterna om de risker som faktiskt finns, och vad man kan göra åt dem? Oktober är European Cyber Security Month, och vi vill belysa dessa frågor lite extra. Alexander Rautenberg är säkerhetstestare på Combitech. Han reder ut våra frågetecken.

Varför är det viktigt att ha koll på hur säkra våra smarta produkter är?

Det finns många anledningar till varför vi vill veta att våra smarta produkter är säkra. För individen kan det handla om att inte bli av med lösenord och i förlängningen råka ut för identitetsstöld, och på ett större plan kan det till exempel handla om att förhindra att någon tar sig in i smarta tågsystem eller annan form uppkopplad och sammankopplad kritisk infrastruktur.

Vad gör du som säkerhetstestare?

Vi gör det hackarna skulle göra om vi inte gjorde det först! Enkelt uttryckt kollar vi om en produkt avslöjar information som vi inte räknat med att den ska skicka. Kan vi gå in och ändra lösenord, få tillgång till känslig information, eller liknande, så betyder det att andra också kan det.

Ett vanligt uppdrag, för att till exempel testa en smart klocka, börjar med att vi letar online efter så mycket information som möjligt om klockan och dess system. Det här är information som finns tillgänglig för alla. Klockorna kommunicerar via protokoll, de skickar information till molnet via internet. Där går vi sedan in och tittar på datan som skickas. Finns det något intressant där? I värsta fall är informationen inte krypterad och vi kan enkelt läsa den. Detta är enkelt att testa och därför börjar vi oftast där. Efter det går vi vidare med olika metoder beroende på vad vi testar. 

Andra typer av säkerhetsfällor är produkter med förinstallerade appar. En app som du tror är Facebook kan i verkligheten vara en modifierad version av appen som ligger och skickar information kontinuerligt. Idag finns det många mer eller mindre kända märken av till exempel smarta klockor, och där har vi inte alltid koll på vem som ligger bakom produkten.

Vad gör ni om ni hittar en säkerhetslucka?

Om vi upptäcker en svaghet i systemet gör vi en värdering av hur troligt det är att någon skulle exploatera denna säkerhetslucka. Vi ger sedan förslag på åtgärder till kunden, och hjälper även ofta till att utföra åtgärderna. Efter att åtgärderna färdigställts gör vi oftast ett nytt säkerhetstest. Både för att se att åtgärden fått önskad effekt, men också för att man kan hitta ytterligare säkerhetsluckor i nästa steg.

Vilka typer av produkter testar ni, och för vem?

Vi har en bred kunskap och kan testa produkter från många olika branscher, allt från kritisk infrastruktur till IoT-prylar. Det kan vara framtidens bussystem, en smart klocka, en uppkopplad ugn. Det är producenterna som vill testa sina produkter innan de sätter dem på marknaden. Vi jobbar alltid i nära samarbete med kunden, som är expert på just sin produkt. Tillsammans kartlägger vi produktens system och hittar eventuella säkerhetsluckor.

Har du sett nån förändring i de produkter du testar över tid?

När vi började med säkerhetstest på Combitech för över 20 år sedan var den allmänna säkerheten i produkterna väldigt låg. Men de flesta producenterna har under åren blivit bättre och bättre på att skapa säkra produkter. Men samtidigt har produkterna också blivit mer uppkopplade och komplexa, vilket innebär att möjliga attackvägar ökar drastiskt och därmed risken att man missat något. Användarna av produkterna är sällan medvetna om problem med eventuella säkerhetsluckor och dåliga på att ställa krav på säkra produkter vid köp. Produkterna kan också ofta användas på säkra eller osäkra sätt och här har användarna också ett ansvar.