Säkerhet för sakernas internet (internet of things, IoT) har nu bokstavligen blivit en fråga om liv och död. ”Vi har sett ett jordskred av potentiellt dödliga sårbarheter i anslutna enheter, och jag vill inte ens föreställa mig vad som kan hända om den här trenden fortsätter – men det finns en välbeprövad säkerhetsmetod som nu har modifierats så att den också kan avvärja IoT-hotet”, säger Tejas Lagad, regionchef för Indien på identitets- och säkerhetsföretaget Nexus Group.
År 2015 blev Chrysler tvunget att återkalla 1,4 miljoner fordon efter att ett par hackare visat att de kunde kapa en Jeeps digitala system på distans över internet.
Hackare tog över bilbromsarna
”De kunde trådlöst hacka sig in i en bil och ta över instrumentbrädans funktioner, styrningen och bromsarna. För Chrysler var det pinsamt och dyrt att täppa till säkerhetshålet – för Jeep-ägarna var den dåliga autentiseringen i fjärranslutningen en fråga om liv och död”, säger Tejas Lagad.
Ett år senare varnade Johnson & Johnson läkare och 114 000 patienter om att det fanns ett säkerhetsproblem i en av deras insulinpumpar. Säkerhetshålet skulle kunna utnyttjas för att överdosera diabetespatienter med insulin.
Stark autentisering – en nödvändighet
”Det här är bara två av många exempel på dålig IoT-säkerhet som har kastat ljus över hur otroligt viktigt det har blivit med pålitlig autentisering. Stark autentisering är det som gör det möjligt för anslutna saker att kommunicera säkert och undvika tjuvlyssnare och kapare”, säger Tejas Lagad.
Tanken på att någon skulle ge dig en överdos eller krascha din bil med dig i den kan skrämma den modigaste, och vissa människor hävdar att sakernas internet kommer att göra mer skada än nytta.
Dags att gå tillbaka till beprövad säkerhet
”Men är att gå tillbaka till medeltiden verkligen det rätta svaret på de mycket reella farorna som IoT medför? Nej. I stället är det dags att gå tillbaka till beprövad säkerhet. Till något som har säkrat internet under de senaste 20 åren genom att möjliggöra HTTPS. Det är dags att börja använda public key infrastructure (PKI) för IoT-säkerhet”, säger Tejas Lagad.
Säkerhetsmetoden PKI möjliggör betrodda elektroniska identiteter för personer och saker, vilket gör det möjligt att implementera stark autentisering, datakryptering och digitala signaturer.
PKI har aldrig hackats
”Det pågår försök att skydda anslutna enheter på ett tillförlitligt sätt med andra metoder, men varför återuppfinna hjulet? PKI har aldrig hackats. Tidigare var PKI dyrt och komplicerat, men det är det inte längre.”
Alla tillverkare av anslutna enheter lägger mycket tid och kraft på kompatibilitet och anslutningsförmåga, eftersom de vet att de här faktorerna är nödvändiga för framgångsrik försäljning. Det måste till en attitydförändring, så att säkerhet ses som lika viktigt, enligt Tejas Lagad.
Säkra IoT redan i designstadiet
”Tillverkare måste börja göra anslutna enheter säkra redan i designstadiet, genom att bygga in stöd för de digitala certifikat som säkerställer de digitala identiteternas trovärdighet”, säger Tejas Lagad.
Tidigare var det komplicerat att förse saker med digitala certifikat, men det har ändrats. Nya utgivningsprotokoll för certifikat, framförallt Enrollment over Secure Transport (EST), gör processen mycket enklare och effektivare.
”Och den kommande standarden EST over secure CoAP standard (EST-coaps) kommer att förbättra processen ännu mer. Det betyder att det inte längre finns några giltiga skäl för att riskera liv genom att inte använda PKI”, säger Tejas Lagad.