I dagens artikel om Internet of Things i Ny Teknik diskuteras det faktum att alla uppkopplade IoT-enheter som vi har runt omkring oss kan utgöra säkerhetsrisker. Knowit Secures Christer Leuhusen är en av de som har intervjuats.
Artikeln tar avstamp i en incident i september 2016 då den amerikanska teknikjournalisten Brian Krebs drabbades av den dittills största kända överbelastningsattacken (DDoS). Vanligtvis används kapade datorer i det så kallade botnätet, men attacken mot Krebs hemsida ”Krebs on Security” utfördes genom användandet av kapade övervakningskameror. På ett gemensamt kommando skickade övervakningskamerorna trafik mot hemsidan och tillsammans skickade de 620 gigabit per sekund.
Experter har länge varnat för bristande säkerhet i alla de saker som nu kopplas upp mot internet. Angripare bryr sig sällan om funktionen i de enheter som kapas utan i de flesta fall är det processorkraften och internetuppkopplingen som de är ute efter. Detta kan användas för DDoS-attacker eller för att skicka spam, två metoder att tjäna pengar på nätbrottslighet. Detta lyfter även kollegan Christer Leuhusen fram:
– Enheterna kan vara intressanta för angripare. Inte nödvändigtvis för att angriparna är ute efter den verksamhet eller information som finns i IoT-enheten, utan just för att använda dem i ett botnät.
I artikeln i Ny Teknik nämns det faktum att internets funktioner inte finns i själva nätet, utan i de datorer, servrar och andra apparater som kopplas till det. Varje ansluten enhet har ett stort ansvar för hur den utnyttjar internetuppkopplingen. Det är en av anledningarna till att vi skyddar våra datorer med antivirusprogram och brandväggar. Det innebär också att varje IoT-enhet måste se efter sin egen säkerhet.
Ett problem är att enheter som installeras, antingen hemma eller på jobbet, kan ha uppkopplingsmöjligheter som användaren inte känner till.
– Internet of Things har blivit en ny attackvektor in i organisationer. Jag har själv varit med om fall där de installerat osäkra saker i sina nätverk som kan ge en angripare en väg in i nätverket. Ibland hittar vi till och med prylar och system som ingen minns hur de hamnat där, eller varför, berättar Christer.
Han fortsätter:
- Som kund måste man ställa krav på tillverkarna, men också vara noga med vad man köper och hur man konfigurerar enheterna. Och sedan se till att övervaka trafiken till och från prylarna, så att man kan upptäcka sådant som ser misstänkt ut.
Argument för lagstiftning och hårda krav på tillverkarna har börjat uppkomma och i EU-kommissionen förs diskussioner om införandet av någon form av säkerhetsmärkning, liknande den som finns för elektriska produkter. Tanken är att lagkrav och certifieringar ska vara ett sätt att fördela ansvaret och kostnaderna för problemen på ett bättre sätt jämfört med idag.
Läs hela artikeln här.