Säkerhetstänket haltar i utvecklingen av Internet of Things

Utvecklingen av Internet of Things-teknik går ständigt framåt och det handlar inte bara om smartphones och spelkonsoler. Vården och motorindustrin är bara två exempel på områden som utnyttjar möjligheterna. Men säkerheten glöms ofta bort och när allt mer kopplas upp mot internet ökar riskerna.

Längre ner i det här blogginlägget går jag igenom säkerhetsriskerna, men först lite om vad Internet of Things (hädanefter IoT) är och vilka möjligheter som finns.

IoT är till exempel apparater och maskiner som är uppkopplade mot internet så att vi kan styra dem, få information från dem, eller ge dem en typ av intelligens som ger oss en bättre upplevelse.När man pratar om IoT så tänker många på den tidiga visionen med kylskåpet som skulle kunna informera en om vad som behöver köpas hem. Eller tvättmaskinen som skulle tala om när tvätten är färdig och huset som skulle tala om när någon befann sig i det och på så sätt larma om att du har en gäst och även visa denne på bild. Praktiska saker inom gränser som vi känner naturliga och användbara.

Det har runnit en hel del vatten under broarna sedan dess. Idag pratar man om ”dold intelligens” med hjälp av IoT. Elmätare som rapporterar din elförbrukning kontinuerligt. Övervakningssystem i hemmen som håller koll på värme, vatten, brand och inbrottsskydd. Nöjessaker som TV, digitalboxar eller spelkonsoler som hela tiden försöker optimera och anpassa upplevelsen för användaren (självklart också med en vinst för företaget som levererar innehållet). Det stannar dock inte där på långa vägar för utvecklingen har pågått inom en massa andra områden som vi kanske inte tänker på.

Potential att förbättra vården

Telemedicin var ett hett ämne för ett antal år sedan. Enkelt innebär det att allt som kan digitaliseras inom sjukvård och på så sätt öka nyttan ska främjas. Ett exempel på detta är att en ambulans utrustas med utrustning som kan diagnostisera patienten redan på plats och sedan skickas informationen till akuten så att de kan förbereda de insatser som krävs. Eller att sjukhuset kan se saker i förväg som man normalt inte kan uppfatta i en ambulans. Man spar även värdefull tid som i slutändan ökar chansen för att patienten ska bli fullt återställd.

Utvecklingen har även gått vidare inom vården där man kan övervaka och fjärradministrera behandlingar av patienter som diabetiker, dialyspatienter och så vidare. Inom amerikanska försvaret har man experimenterat med operationer på distans där en operationsläkare på ett sjukhus bistår en fältläkare ute i fält med behandling av en skadad soldat. Dock har det bara varit försök och vad jag vet aldrig används i en riktig konflikt.

Motorindustrin i framkant

Några som sedan länge har visat stort intresse för IoT i sina produkter är motorindustrin. Tekniken måste anses som väl utvecklad då man under årtionden har använt tekniken inom racing. I ett F-1 lopp så analyseras bilens prestanda, beteende samt förarens körstil i depån under hela loppet genom en trådlös förbindelse. Informationen skickas även vidare till huvudfabriken där datat kan processas i realtid. Man kan sedan välja att ändra bilens prestanda efter behov och upptäcka saker innan föraren själv gör det. Den lösningen finns även för en del bilar och lastbilar. Fordonet kan flagga i förväg när något fel har uppstått eller när något behöver ses över. Det går även att fjärrstyra en del av fordonets egenskaper om så skulle behövas. Självklart går det även att följa fordonets geografiska position för att till exempel ge en lastbilsmotor några extra hästkrafter i bergiga områden eller stänga av den vid en stöld.

Jag hade förmånen att köra en Tesla S för en tid sedan. Det är en ren elbil som är fantastiskt på många sätt. En sak som slår en är hur Tesla har satsat oerhört mycket på hur mycket som kontrolleras och styrs av den inbyggda datorn som föraren kan interagera med. I mittkonsolen sitter en stor pekskärm som kan visa all typ av information. Det känns som en stor smartphone som samspelar med bilen. Den är hela tiden uppkopplad mot internet och både sänder och hämtar information. Bilen lär sig hur du använder den, vart du kör, hur ofta osv. Med hjälp av GPS så frågar den dig ”Du har kört denna sträcka ofta – är det din arbetsplats?”.

Men det går längre än så. Den senaste releasen av programvara innehöll något som kan kallas ”geo-anpassad körinformation”. Där lär sig bilen till exempel var det finns väggupp eller dålig väg och höjer bilens frigång till lämplig nivå när man närmar sig denna plats. Den samlar alltså in informationen, behandlar den, och låter dig använda den kunskapen för en bättre upplevelse. Det är nästan bara fantasin som sätter gränser för vad man kan använda funktioner som denna till. En stor del av de modernaste bilarna styr bilens egenskaper via elektronik idag och det finns egentligen inget tekniskt hinder att låta bilens huvuddator eller intelligens ute i molnet utnyttja den. Dock finns det en risk med att låta allt vara IoT och det har med säkerhet och integritet att göra.

Säkerheten glöms ofta bort

I detta blogginlägg riktar jag in mig på säkerheten. Problemet med en del IoT är att man har lagt väldigt lite arbete på säkerheten när det gäller skydd mot intrång, skadlig kod och så vidare. I vissa fall har man inte tänkt på säkerhet över huvud taget då man inte upplevt att det finns något behov. Istället har man fokuserat på funktionen. De senaste åren har dock fler och fler röster höjts om riskerna med dålig säkerhet hos de saker man nu ansluter till internet. Säkerhetsforskaren Barnaby Jack visade 2011 hur han kunde hacka en uppkopplad insulinpump och få den att leverera en dödlig dos insulin. Hans nästa avslöjande skulle bli att han kunde fjärrstyra en pacemaker och få den att generera en elektrisk chock. Något som fick den dåvarande vicepresidenten Dick Cheney att be sina doktorer att stänga av den trådlösa anslutningen i hans egen pacemaker. Barnaby Jack dog dock innan han hann demonstrera hur det skulle gå till.

Säkerhetsföretaget IID skrev förra året att vi innan slutet av 2014 kunde förvänta oss detta: ”We will witness the first ever public case of murder via hacked Internet-connected device”. Nu har inget skett som visar att de hade rätt men det pekar på riskerna med att vi kopplar upp allt mer saker mot internet utan tillräckligt bra skydd. Bilföretaget Tesla visade nyligen sin nya modell D som ska innehålla ännu fler funktioner som styrs av bilens dator. I vissa fall tillsammans med deras egna centrala datorsystem. Det ryktades om att Modell D skulle få någon typ av funktion där bilen själv kunde ta hand om mycket mer av själva körningen. Inget nämndes om det från Tesla på deras stora pressträff och man kan bara spekulera i ifall det beror på att de inte blev klara med det eller om denna funktion skulle kunna innebära alltför stora risker.

Fler uppkopplade bilar framöver

Tesla är dock inte den enda bil som till stor del kontrolleras av bilens egen dator och kan kommunicera trådlöst. De flesta biltillverkare arbetar på någon typ av lösning med en uppkopplad bil och vi kan förvänta oss att få se flera framöver. Detta har fått Europol att varna för vad detta kan medföra. Man menar att de attacker, intrång, virus och annat elände vi lever med i datorer och smartphones idag kommer att drabba även IoT, exempelvis bilar och andra fordon. Man pratar om ransom ware där bilen smittas av skadlig kod och man är tvungen att betala en lösensumma för att kunna få tillbaka kontrollen över bilen igen. Tänk dig att du blir utelåst eller att bilen inte kan startas, men problemen stannar inte bara där. Skadlig kod kan ändra bilens beteende och i vissa fall orsaka skador på fordonet eller personskador. I värsta fall dödsfall.

Lagstiftningen måste hålla jämna steg med utvecklingen

Uppkopplad medicinsk utrustning öppnar upp för helt nya risker där patientsäkerheten kan drabbas. Även den personliga integriteten är i farozonen genom att det finns risk för datastöld. Men det stannar inte bara där. Mycket av samhällets känsliga infrastruktur är uppkopplad på något sätt, även om det ibland är på en mycket låg eller begränsad nivå. För varje år som går kommer ny och mer modern utrustning och då ofta med möjlighet att kunna fjärradministrera den eller att den själv kan kommunicera med en annan enhet.

Detta har nu lett till att Europol uppmanar regeringarna att arbeta hårdare för att försöka få en lagstiftning som håller jämna steg med utvecklingen inom IoT och de risker som bristen på god säkerhet innebär. Både när det gäller brottsbekämpning och straff men även för lagar som tvingar tillverkare att upprätthålla en acceptabel nivå av säkerhet i sina IoT-produkter och tjänster. Detta ska gälla för såväl nya IoT-produkter som för redan existerande. Europol är inte ensamma om att ta upp detta problem. På den senaste säkerhetskonferensen Black Hat tog Dan Geer, säkerhetschef hos CIA’s forskningsföretag In-Q-Tel, upp problematiken i ett kontroversiellt tal.

Vi får hoppas att våra företag och beslutsfattare lyssnar.

Etiketter: , , , , , , , , , , , , Foto: Natasha Carolan's work on embedding electronics in a Makie doll av DoES Liverpool (CC BY-SA 2.0)

Om bloggaren

Amar Andersson F.d Registrar Manager, IIS Amar Andersson var fram till 2015 den som hade kontakten med våra registrarer (återförsäljare). Tidigare har han arbetat från TeliaSonera där han var med och startade upp Telias Internettjänster -95.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

  • Laine 28 oktober 2014, kl 21.01

    Håller inte med. I dom projekt jag jobbat med gällande IoT är ALLTID integritet och säkerhet dom frågorna som ställs oftast. Extremt hög medvetenhet gällande säkerheten och det som absolut kostar mest i ett projekt. Självklart får man vad man betalar för, men att ta det som finns mest på internet som en form av säkerhetsmått är enbart som att säga, det som är billigast är bäst. Sedan att säkerheten inte är heltäckande, är en helt annan femma.

    Svara
    • Amar Andersson
      Amar Andersson 29 oktober 2014, kl 11.11

      Hej!

      Självklart är det så att det finns de som jobbar efter etablerade säkerhetspolicies och rutiner. Då speciellt inom finans, bank och säkerhetsområdet. Men den utveckling vi gå mot gör att nya saker kopplas upp mot nätet där säkerheten inte ligger på samma nivå som för våra datorer vi har haft uppkopplade under 20 år eller mer. En kedja är inte starkare än sin svagaste länk och den svaga länken behöver inte vara programvaran i en IoT utan i en annan del av kedjan där just denna device ingår. Min syn på det hela är att en del av dessa nya IoT:s ligger på en nivå som motsvarar var vi var för kanske 5-10 år sedan. Även om ens frys inte kanske kan bli ”ägd” eller kan råka ut för något direkt haveri så finns det en risk att dessa kan användas till andra vektorer. T.ex vara med som en bot i en DDoS mot ett mål. Så även om skadan inte drabbar ägaren så kan någon annan drabbas.

      HP gjorde nyligen en studie över IoT och det var ingen munter läsning. EURECOM släppte en rapport om brister i firmware bland uppkopplad hemelektronik och hushållsprodukter. Även amerikanska DARPA har flaggat för risken med svag säkerhet bland IoT. En anonym forskare ville mappa världens IPv4-block och gjorde det genom att skriva ett par rader kod i C som sedan startade en telnet-session. Han samlade in 420,000 hostar som gladeligen var med i kartläggningen. Allt från hemmaroutrar, webbkameror och set-top boxar till tillverkning och procesessystem i fabriker.

      Vi är bara i början av IoT och vi har fortfarande chansen att påverka utveckling åt rätt håll. Därför behövs det mer fokus på just säkerheten och intrigiteten.

      Svara
  • Jonas Lejon 29 oktober 2014, kl 21.34

    Intressant utveckling och jag tror att priset är också en avgörande faktor. Tillverkarna har inte råd att lägga pengar på säkerhet utan måste ta fram många produkter billigt och snabbt. Helst redan igår

    Svara
    • Jonas 18 januari 2016, kl 09.41

      Köparna har inte råd att betala för problemen som kommer i efterhand med produkter som har dålig täckning för att fungera med säkerhet. IoT behövs inte snabbare än att säkerheten kan garanteras.

      Svara