Bristfällig säkerhet för sakernas internet (internet of things, IoT) har fått stor uppmärksamhet på senare tid, och de flesta experter anser att det enda sättet att komma till rätta med problemet är att ge alla enheter PKI-baserade certifikat. ”Det har de rätt i. Men det som alltför ofta glöms bort är att även den mänskliga delen av IoT behöver säkras upp”, säger Daniel Hjort, chef för Smart ID-lösningen hos identitets- och säkerhetsföretaget Nexus Group.
Nya utgivningsprotokoll för certifikat gör det nu möjligt att använda säkerhetsmetoden public key infrastructure (PKI) för att ge alla enheter i ett IoT-system betrodda identiteter genom att förse dem med certifikat.
Den bortglömda delen av IoT: människor
”Det här gör det möjligt att undvika kapning och avlyssning genom att säkra kommunikationen mellan sakerna och det centrala systemet. Nyheten har spridit sig till många IoT-leverantörer, och ett snabbt ökande antal börjar använda PKI. Det är jättebra – men det räcker inte”, säger Daniel Hjort.
Det finns alltid människor som administrerar och/eller använder IoT-systemen, och deras kommunikation med det centrala systemet måste också skyddas.
Lösenorden är inte säkra
”Trots att det är allmänt känt att lösenord inte är säkra tillåter de flesta IoT-system både användare och administratörer att logga in med bara ett användarnamn och statiskt lösenord. Någon typ av tvåfaktorautentisering (2FA) är det enda rimliga alternativet – men det är chockerande hur underutnyttjat 2FA är”, säger Daniel Hjort.
Medan det inte har varit möjligt att säkra resursbegränsade enheter med PKI till nyligen så har 2FA för människor funnits i många år.
Användarvänliga 2FA-metoder är nu tillgängliga
”Men utvecklingen har faktiskt varit snabb inom det här området också. Tidigare 2FA-metoder var svåra att implementera och underhålla, och de var inte användarvänliga. Men det har förändrats”, säger Daniel Hjort.
Ett exempel på en smidig lösning är Nexus Smart ID, som låter användarna logga in säkert med till exempel en mobilapp och ansiktsigenkänning eller med ett PKI-kort och en PIN-kod.
”Med den teknik som finns tillgänglig i dag finns det inga ursäkter för att utsätta IoT-användare – eller resten av allmänheten – för fara”, säger Daniel Hjort.
Farorna med IoT är högst påtagliga
Farorna med IoT sträcker sig från att känslig information stjäls eller att någon filmar dig naken med inbrottslarmets videokamera, till att någon kapar och kraschar din uppkopplade bil eller orsakar en allvarlig incident på en fabrik.
”IoT är supercoolt och kommer göra allas liv bättre – om det är ordentligt säkrat. Farorna med otillräckligt eller felaktigt säkrade IoT-system är högst påtagliga, och jag hoppas verkligen att IoT-leverantörerna kommer att ta sitt säkerhetsansvar”, säger Daniel Hjort.