2018-10-09

FOI: Så kan myndigheter göra för minska risker med IoT-enheter

Mängden uppkopplade enheter ökar, liksom riskerna för angrepp mot dem. Enheterna kan vara inbyggda i allt från bilar till pumpar i vattenverk och annan känslig infrastruktur. FOI har på uppdrag av MSB tagit fram en rapport om vad myndigheter kan göra för att motverka dessa risker.

Sakernas internet (från engelskans Internet of Things, IoT) kan vara vardagsföremål som spisar, teveapparater, kläder och fordon med inbyggd elektronik och internetuppkoppling. När de innehåller mätutrustning och ställdon för att registrera information eller utföra tjänster finns de ofta även i moderna hus, smarta elnät, intelligenta transport- och vattensystem samt andra industriella tillämpningar.

Risker i sådana infrastrukturer är utmaningar för hela samhället.

– Det finns olika typer av risker med IoT. Angrepp mot enskild utrustning kan förstås orsaka stor skada. Forskare har till exempelvis visat hur man kan ta kontrollen över en modern bil via trådlöst nät. Likaså finns sårbara punkter i sjukhusutrustning, som pacemakers och pumpar för att dosera medicin, säger Vidar Hedtjärn Swaling, förste analytiker vid FOI, som skrivit rapporten ”NCS3 Studie - IoT-relaterade risker och strategier” tillsammans med Jessica Johansson.

Rapporten visar att oskyddad IoT kan användas till allt från stöld av information, spionage, sabotage och utpressning till att undergräva tilltron till system och samhällsfunktioner. Det handlar alltså om IoT-utrustning som mål eller medel för angrepp, eller för att förstärka angrepp, som exempelvis överbelastning av datorsystem.

– Lyfter man upp det till samhällsnivå kan intrång via IoT-enheter leda till att angripare får kontroll över viktiga processer inom exempelvis värme, vatten, el, transport eller finansiella tjänster. Det skulle till exempel kunna handla om ett uppkopplat ställdon till en pump i ett vattenverk.

Designade utan säkerhet
Ett av problemen med IoT-enheter är den stora mängden produkter med bristande skydd. En systemägare kanske inte ens känner till att de har utrustning som är nåbar via internet.

– Många av dessa produkter har standardlösenord som är lätta att komma över. Ofta är de inte designade med hänsyn till säkerhet alls och det fysiska skyddet är i allmänhet svagt, säger Vidar Hedtjärn Swaling.

Förutom förebyggande insatser föreslår rapporten även vaksamhet när det gäller olika former av informationsläckage. Det beror på att informationen i sig kan vara inkörsporten till en attacksekvens som i värsta fall kan hota samhällsviktiga funktioner.

– Mycket av säkerhetsarbetet handlar om att skydda kritiska IT-system och processer eftersom det är där IoT-attackerna kan få riktigt allvarliga konsekvenser. Det gäller också att se till att saker inte är uppkopplade i onödan, att byta lösenord ofta och att alltid ha de senaste säkerhetsuppdateringarna, säger Vidar Hedtjärn Swaling.

FOI:s tips på strategier för att motverka och begränsa IoT-attacker:

  • Förebyggande insatser mot bristfällig hantering av lösenord samt fysisk exponering.
  • Vaksamhet mot olika former av informationsläckage är viktigt eftersom informationen kan vara inkörsporten till en längre attacksekvens.
  • IoT-produkter bör levereras med säkra lösenord och enheter ska inte vara uppkopplade i onödan.
  • Normalt IT- och processäkerhetsarbete är viktigt eftersom det är via IT-system och processer som IoT-angrepp kan få riktigt allvarliga konsekvenser.
  • Rapporten rekommenderar även transparens inom IoT, att syftet med uppkopplingen är tydligt och att information om händelser och sårbarheter delas mellan organisationer utan att affärshemligheter röjs.

Nyheter från startsidan »
Sök i nyhetsarkivet »  
Leverantörer
Ändra marknad
Sverige Danmark
Till toppen av sidan
Stäng

Prenumerera på vårt nyhetsbrev!


Med vårt nyhetsbrev kan du få de senaste nyheterna från säkerhetsmarknaden. Nyhetsbrevet är veckovis och du kan själv avsluta din prenumeration när du själv önskar.