IT-säkerhet för viktiga samhällsfunktioner — Vad krävs?

Av Henrik Hjelte 08.03.18 |

Del:

Allt mer i samhället är uppkopplat till internet för att kunna övervakas och styras på distans. Men den ökande förekomsten av IoT skapar även oro vad gäller integritet och säkerhet.

modern-cityscape-and-business-person-iot-ict-abstract-image-visual-picture-id691790416.jpg

Den 17 januari höll AddSecure ett webbinarium om IT-säkerhet för viktiga samhällsfunktioner. Här är en sammanfattning av de viktigaste teman som togs upp.

Du kan även ladda ner en inspelning av webbinariet genom att klicka på knappen längst ner i inlägget.

 

1. NIS-direktivet ställer nya krav på många branscher

Medan stora delar av Europa arbetar intensivt för att uppfylla GDPR-kraven finns det branscher som hellre inriktar sig på NIS-direktivet, även det utfärdat av Europeiska unionen. Viktiga samhällsfunktioner som energi, transport, hälsa och digital infrastruktur måste inte bara hantera integritetsfrågor utan även de skärpta kraven för själva systemen som de ansvarar för.

Dessa krav inkluderar en generellt högre säkerhetsnivå, rapportering vid avvikelser, samt bättre kontroll över alla enheter via övervakning. Det sistnämnda sker genom det som kallas managed connectivity, eller hanterade uppkopplade enheter på svenska.

NIS-direktivet träder i kraft den 9 maj 2018.

 

2. Öppna enheter på nätet kan få stora konsekvenser

Det är djungelns lag som råder där ute för enheter som inte är skyddade. Data kan enkelt raderas eller ändras, kommunikationen kan bli avbruten, och enheterna kan kapas för att användas i botnets som deltar i massiva DDoS-attacker mot viktiga tjänster.

För viktiga samhällsbranscher som energi får detta naturligtvis stora konsekvenser, såsom avbrott i viktiga tjänster eller värre. I Sverige upptäckte man ett vattenkraftverk som låg öppet tillgängligt på nätet, utan ett unikt lösenordsskydd.

Samtidigt tänker kanske många att deras uppgifter varken är hemliga eller speciellt lukrativa mål för obehöriga. Faktum är att den utbredda användningen av botnets gör att varenda enhet som inte är skyddad utgör ett hot mot ekosystemet. Det som inte är ett mål blir ett vapen.

 

3. Dina enheter är lättare att hacka än du tror

Många är inte medvetna om att det finns sökmotorer för oskyddade enheter. Det gör det inte bara möjligt för obehöriga att i praktiken googla fram offer, utan IoT-malware är som regel programmerad för att automatiskt söka efter nya enheter att kapa. Som om inte det vore nog ligger källkoden till de värsta malware-varianterna öppet ute på nätet och kan återanvändas för allt från industrispionage till rent sabotage.

För att illustrera hur enkelt den skadliga programvaran kan aktiveras kopplade vi upp en webbkamera med en offentlig IP-adress på nätet. Den första oönskade produkten dök upp efter bara fem minuter, och efter fem dagar hade 1858 olika adresser varit inne. Hela 18 fall av känd skadlig kod registrerades.

 

4. Detta är stegen för en helt säker lösning

För att du ska kunna känna dig helt trygg på dina enheter bör du tänka på följande:

  • Brandvägg
  • IP-filtrering
  • Stäng av SMS-funktionen
  • Byt ut standardlösenordet
  • Stäng portar och tjänster som du inte använder
  • Uppdatera programvaran och firmware
  • Håll antalet användare på ett minimum
  • VPN-anslutning
  • Övervakningsprogramvara

 

5. VPN är viktigast

Ska du bara välja en av punkterna ovan är VPN-anslutning viktigast. VPN står för Virtuellt Privat Närverk, som skapar en osynlig tunnel mellan enheterna, och denna kan aldrig ses från utsidan (dvs. det öppna internet). Sökmotorerna kommer inte att kunna hitta dina enheter, och inte ens världens mest avancerade kodknäckare kommer att kunna ta sig igenom AES-256-protokollet — inte ens om de hade en hel mansålder till sitt förfogande.

Tänk bara på att använda starka lösenord för att logga in på VPN-nätet. Till och med Fort Knox skulle vara ett enkelt byte om ytterdörren bara skyddades av ”lösenord123”.

 

New Call-to-action

IoT-säkerhet

Henrik Hjelte

Av Henrik Hjelte

Henrik har 10 års erfarenhet inom säkerhet och säker kommunikation från Stanley Security och AddSecure. Han är ansvarig för AddSecures säkra plattform för kommunikation inom IoT, AddSecure Link. Han arbetar intensivt för att höja säkerheten inom IoT och att se till att alla enheter som ska kommunicera med varann ska göra det på ett säkert sätt.
false
iot_säkerhet