Säkerhetrisker med IoT-enheter

Internet of Things eller sakernas internet som det ibland översätts till svenska, för med sig stora möjligheter för privatpersoner och företag –  men det innebär också risker. Dessa risker behöver tydliggöras för att kunna identifiera och vidta lämpliga åtgärder. För att tydliggöra riskerna utgår vi får några grundläggande begrepp inom IT-säkerhet. Vi kommer att därigenom kategorisera olika risker på övergripande nivå.

Begreppet risk används med varierande innebörd. Därtill är det inte ovanligt att begreppen hot och risk blandas ihop. Risk är kombinationen av ett hot som kan realiseras utifrån en viss grad av sannolikhet, och därmed leder till en negativ konsekvens. För att en risk ska uppstå måste det finnas ett hot samt att hotet kan utnyttja en sårbarhet.

I syfte att bedöma skyddsbehovet hos det som ska skyddas behöver hoten, sårbarheterna och konsekvenserna identifieras – en s.k. Riskidentifiering och riskanalys. I ett nästa steg är det viktigt att veta vilka risker som kan accepteras, ex. av ekonomiska skäl – dvs en riskvärdering.

Sårbarheter hos IoT
För IoT kan egenskaper som medför potentiella sårbarheter sorteras enligt följande:

Komplexitet:
Antalet IoT-enheter i hem och företag ökar snabbt, och antalet kommunikationsvägar mellan dessa ökar därmed ännu snabbare. Därtill ökar antalet tillverkare och antalet varianter av mjukvara och hårdvara snabbt, vilket innebär problem med den systemförståelse som krävs för att säkra systemen.

Designförbättringar:
Detta rör konstruktion och funktion. IoT-enheter har begränsade resurser vad gäller energi- och beräkningskapacitet. Effekten blir att det ofta inte på ett bra sätt går att balansera säkerhetsmekanismer, t.ex. kryptering, mot enhetens primärsyfte. Ofta prioriteras inte säkerhet, vilket exempelvis kan innebära brist på förmåga att i efterhand uppdatera och stänga igen eventuella säkerhetshål i mjukvaran.

Exponering:
Den fysiska åtkomsten till IoT-enheter utgör en sårbarhet, då det förenklar manipulation. Det stora antalet skapar möjlighet att otillåtet inhämta information. Det är inte ovanligt att lösenordsskyddet håller en låg nivå, vilket ökar risken för otillbörligt användande och skadlig kod.

 

Attackvektorer
Attackvektorer kan enklast beskrivas som angreppssätt och mål. Dessa är i många fall gemensamma med dem för IT och kan grupperas enligt vilken del av IoT de riktas mot:

Perceptionslager:
Samlar in data om den omgivande miljön med hjälp av bland annat sensorer, kameror, GPS, etc. Här kan också fysisk påverkan av omgivande miljö ske samt samarbete mellan lokala noder.

Applikationslager:
Bearbetar den mottagna informationen och utfärdar kommandon till de fysiska enheterna.

Överföringslager:
Där utbyte och bearbetning av data mellan perceptions-och applikationslagret genomförs. Överföring av data kan ske genom lokala nätverk eller över internet.

 

Risker
Risker kopplade till IoT kan grupperas utifrån de s.k. skyddsvärdena; konfidentialitet, riktighet och tillgänglighet.

Konfidentialitet:
IoT-enheter kan användas som en ingång in i traditionella IT-system för att stjäla information. Då feltalet IoT-enheter är avsedda för att inhämta information, genom t.ex. kameror och mikrofoner, möjliggör de inhämtning av individinformation och spionage.

Riktighet:
Här kan IoT-enheten vara såväl måltavlan som ett verktyg. Möjligheten att manipulera IoT-enheter medför risk både på individ- och samhällsnivå. Exempelvis om en enskild medicinpump manipuleras eller storskalig manipulation av smarta elnät. Möjligheten att ta över IoT enheter för att skapa exempelvis botnet för överbelastningsattacker.

Tillgänglighet:
IoT-enheter kan göras otjänliga, exempelvis i utpressningssyfte, eller som en sidoeffekt av att de tas över för andra syften, såsom en del i en överbelastningsattack.

Såväl hushåll som företag behöver vidta åtgärder för att minimera sannolikheten att hotet realiseras eller konsekvensen av händelsen. För att vidta åtgärder mot sannolikheten behövs medvetandehöjande arbete för hushåll och därtill kravställning för företag. För att minimera konsekvenserna behövs löpande kontinuitets och säkerhetsarbete.

 

Wefirewall skyddar organisationer och privatpersoner mot angrepp
I takt med nya normalbilden med IoT-enheter i hushåll och kontor, skapas även nya tillvägagångssätt för angrepp och intrång. Detta medför en utmaning, framförallt i det reaktiva arbetet att stoppa ett angrepp. Säkerhetslösningar behöver därför kombineras med kompetensutveckling så att den reaktiva hanteringen och skademinimeringen inte utgör normalförfarandet i en organisation eller uppkopplat hushåll. Wefirewall erbjuder ett flertal proaktiva tjänster och kompetensutveckling.

Hör av dig om du vill veta hur vi kan hjälpa din organisation eller ert hushåll med informationssäkerhet, på info@wefirewall.se.
WeFirewall kan informationssäkerhet och bidrar till trygghet och resiliens.