Miljarder uppkopplade prylar förväntas i framtiden – gigantiska informationsmängder som inte får komma på vift. Internet of things kräver kontroll över både identiteter och information i apparaterna.
Grundregeln är att leverantören av en tjänst ansvarar för informationen och identiteten på en uppkopplad apparat. Det är inte användarens ansvar om apparaten hackas.
Hemlarm är ett bra exempel. Det är vanligt att kunden abonnerar på en tjänst där bevakningsföretaget installerar larmutrustning och bevakningsföretaget ansvarar för att ingen hackar sig in i larmutrustningen. Problem uppstår när kunden själv installerar ett larm och sedan köper en tjänst som övervakar larmet.
“Det kan finnas brister i tekniken som öppnar för intrång. Ur kundens perspektiv är det mer tilltalande att köpa en tjänst där tekniken ingår, eftersom leverantören ansvarar för helheten”, säger Stefan Sundh, lösningsarkitekt på Nexus.
EU:s nya datalagringsdirektiv ökar kraven på den som erbjuder digitala tjänster. Den som lagrar data ska kunna redogöra för vilken typ av data som lagras, i vilket syfte det görs och säkerställa att informationen även kan raderas. Tjänsteleverantören måste även kunna säkra identiteten för att obehöriga inte ska komma åt informationen och förändra eller stjäla den. Det här sätter ytterligare tryck på tjänsteleverantörer av uppkopplade prylar att kontrollera apparaterna och minska risken för intrång.
“Den som sparar information är ansvarig för hur den säkras och skyddas, helt enkelt”, säger Stefan Sundh.
För att lyckas med det gäller det, enligt Stefan Sundh, att jobba med de öppna standarder som finns för säker kommunikation och identifiering mellan uppkopplade apparater, system och tjänster. På så sätt säkerställs interoperabilitet med olika produkter och leverantörer. Öppna standarder ger också en bra bild av hur säkerheten är byggd vilket gör att till exempel vidareutveckling av säkerhetslösningar från andra leverantörer med öppna standarder blir enklare.
Det klassiska säkerhetsrådet att hålla mjukvaran patchad, alltså uppdaterad med de senaste versionerna som saknar kända säkerhetshål, kan vara svårt att följa. Problemet är att mjukvaran i många apparater inte är gjord för att uppdateras – för att lyckas med det skulle man behöva fysiskt öppna dem och koppla in sig i apparaten. Det är för det mesta opraktiskt och ekonomiskt omöjligt.
“Det är helt enkelt ett systemfel från allra första början. Man tvingas tänka rätt från början – går de uppkopplade sakerna du köper att patcha mjukvaran på? Professionella inköpare måste ha med det på sin kravlista”, säger Stefan Sundh.
Och så är det livscykelhanteringen – den uppkopplade apparaten ska ha en process där det är enkelt att återkalla eller förnya identiteter. Nyligen avslöjades att det bara använts ett fåtal krypteringsnycklar för alla digitala bilnycklar i bilindustrin. Det innebär att om en krypteringsnyckel kommer på drift så är miljontals bilar utsatta för intrångsrisk.
“Det är ju omöjligt för slutkunden att veta om. Här måste den som erbjuder uppkopplade prylar tänka till innan”, säger Stefan Sundh.