IoT i et sikkerhetsperspektiv
Hver nye ting på nett øker risikoflaten og sjanser for misbruk.
Det sterkt økende antall enheter på nett gir tilsvarende flere muligheter for uautorisert tilgang. Vi lever i et online-samfunn, og cyberkriminalitet og cyberkonflikter blir en stadig større del av risikobildet. I motsetning til tidligere tider, da skurkene ranet én bank om gangen og sannsynligheten for å bli tatt var stor, har de i dag anledning til å ramme både lokalt, nasjonalt og globalt og det med svært lav risiko.
Risikoforståelse er nødvendig
Overordnet kan man snakke om trusler på tre nivåer: På personnivå er personvern og svindel bare noen av utfordringene. Bedrifter og organisasjoner er sårbare i forhold til operasjonelle forstyrrelser, finansielle tap, omdømmetap og ansattes trygghet og vern. På samfunnsnivå er for eksempel infrastruktur som vann, strøm, transportsystemer og varelogistikk utsatt for angrep.
Systematisk investering i forståelse av trusselbildet, samt det å investere i evne til deteksjon, reaksjon og normalisering av cyberhendelser står stadig mer sentralt. I «tingenes» verden, der alt er koblet sammen, er det skjerpede krav til dataintegritet, konfidensialitet, konnektivitet og kommunikasjonstjenester.
Når man skal vurdere trusselbildet er det viktig å tenke på hva verdien er for trusselaktører, og i hvilken grad «tingen» kan være adgangsport til en større verdikjede.
IoT-sikkerhet = IT-sikkerhet i n-te
– Det er hensiktsmessig å tenke at de samme prinsipper som gjelder for IT-sikkerhet også kan appliseres til IoT-sikkerhet, sier Tone Skjervø. – Vi snakker eksempelvis om tilgjengelighet, tilgangsstyring, autentisering og kryptering.
Men det er også mye, mye mer. Ny teknologi lanseres og tas i bruk med utgangspunkt i behov som skal dekkes, og det skjer noen ganger før sikkerhetsmekanismer, fra ende til ende i systemet, er på høyden.
Innenfor IoT er det et komplekst bilde. Antall enheter er enormt, og det er mange teknologier som skal spille sammen – fra enheter ute i den fysiske verden til enheter inn i den digitale.
Man skal også ta inn over seg at mange av produktene som i dag kobles mot nett i utgangspunktet ikke ble utviklet med det som utgangspunkt. Det kan for eksempel være effektivt å styre husholdningsproduktene sine via en app, men det er ikke lett å vite om man samtidig har åpnet hjemmenettet for uønsket oppmerksomhet.
En annen faktor er at veldig mange IoT-enheter er fysisk tilgjengelige og dermed enklere å manipulere. En verdikjede er som kjent ikke sikrere enn det svakeste ledd, understreker Skjervø.
Riktige spørsmål – relevante svar
– For en bedrift åpner IoT et helt nytt mulighetsrom, så man er tjent med å vurdere virksomhetens ambisjoner når veien inn i IoT-universet skal stakes ut. Hva skal IoT bidra til å bedre – skal det spares tid og penger? Skal nye produkter og tjenester utvikles? Eller skal man gjøre noe som ikke tidligere har vært mulig? Hva vil kreves av systemintegrasjon og kompetanseutvikling i egen organisasjon? Hvordan sikre at IoT-plattformen som velges er den rette, både for dagens og morgendagens situasjon? Og sist men ikke minst, hvordan sørge for at IoT-løsningene er sikret best mulig i forhold til digitale trusler og hendelser?
Dette er viktige spørsmål der svarene man får avhenger av hvem som gir dem, fortsetter Tone Skjervø. – Vi tenker det er smart å finne en samarbeidspartner med ekspertise på fagfeltet eller bransjen virksomheten opererer. Videre kan man stille krav til livsløpsforvaltning av data, og til bruk av anerkjente rammeverk og leverandører. At IoT-plattformen kan snakke med, og er åpen for alle typer enheter, over alle kjente teknologier kan også ha stor verdi dersom løsningene skal skaleres opp eller endres etterhvert som man bygge opp erfaring og ser flere mulighetsscenarioer.
IoT som teknologi er i rivende utvikling etterhvert som volumet på antall enheter går til værs. Ifølge prognoser fra Gartner vil det i 2020 være 20,2 milliarder tilkoblede enheter på verdensbasis. Noen har regnet ut at det kobles opp 127 nye IoT-enheter til nettet hver eneste dag!
Fra vårt perspektiv, opplever vi at IoT-prosjekter er en naturlig del av digitaliseringsprosessen for mange virksomheter. Bedrifter som investerer i IoT nå vil kunne høste verdifulle erfaringer og tidlig hente ut potensial av både teknologi og egen virksomhet. Det kan gi viktige fortrinn i en kompetitiv fremtid.
Tone Skjervø er CTO og sikkerhetsansvarlig i IOTIX.