IoT nästa stora säkerhetsfråga

Internet of Things, IoT, växer till en jättemarknad. Redan idag hittar vi trådlös kommunikationsteknik i allt från hemmaprylar som kylskåp, babymonitorer och tv-apparater till samhällskritiska funktioner som broar, sjukvårdsutrustning och transportmedel.
Tillväxten sker i rekordfart. 2015 var marknaden för uppkopplade prylar värd 900 miljoner amerikanska dollar, enligt konsultföretaget McKinsey. År 2020 uppskattar de att marknaden omsätter 3,7 miljarder dollar. Fem år senare kommer 75 miljarder prylar vara uppkopplade i världen, spår undersökningsbolaget IHS.
– IoT kommer att växa enormt och det tycker jag att vi ska välkomna. Vi ska dra nytta av att vi har en kommunikationsarkitektur som kan användas för både innovationer och för att underlätta vår vardag och förbättra våra samhällstjänster, säger Anne-Marie Eklund Löwinder, säkerhetschef för IIS.
Anne-Marie Eklund Löwinder är en av få personer i världen som har valts till Trusted Community Representative och deltar i nyckel­genereringen för DNSSEC i rotzonen för Internet. 2012 utsågs hon till Årets säkerhetsprofil för hennes såväl breda som djupa kunskaper inom informationssäkerhet. 2013 valdes hon som första svensk in i Internet Hall of Fame. Hon är aktivt delaktig i en rad internationella och nationella organisationer, bland annat som ledamot i MSB:s informationssäkerhetsråd.
– Men, tillägger hon, därmed ska vi inte blunda för de risker utvecklingen innebär.

Vidöppna säkerhetshål
Ett stort antal prylar saknar idag grundläggande krav på säkerhet. Och de säkerhetshål de blottar är alldeles för enkla att komma åt.
I oktober 2016 råkade DNS-värden Dyn ut för en av historiens största överbelastningsattacker. Attacken släckte ned tjänster som Twitter, Spotify och PayPal. Även svenska myndighetssajter som krisinformation.se och regeringen.se drabbades. Överbelastningen gjordes med hjälp av kapade webbkameror som sammanlänkades till ett världsomfattande botnätverk.
Månaden efter drabbades flera husbolag i Finland av en liknande attack, dock i mycket mindre skala. Värmen stängdes av helt i husen och isen i en närliggande ishall smälte.
– Attackerna vi sett hittills har inte varit avancerade. Vi borde veta bättre. Det är precis som att man blundar för svagheterna som de nya teknikerna bär med sig. Varje gång man kommer med något nytt så tänker man: Åh vad häftigt! Men inte längre än så, säger Anne-Marie Eklund Löwinder och fortsätter:
– Vad man måste komma ihåg är att allt är en dator. Telefonen är en dator du ringer med. Ett kylskåp är en dator som håller saker kallt, en uttagsautomat är en dator med pengar. Till och med bilar är en dator på fyra hjul. Med den insikten måste man börja jobba ganska hårt med det här.

Fel redan från början
Trots att bristerna funnits sedan länge (DN hissade varningsflagg redan 2014) finns säkerhetshålen fortfarande kvar. Risken för att mer samhällskritiska funktioner kan drabbas växer i takt med antalet enheter på marknaden.
Enligt Anne-Marie Eklund Löwinder handlar det dels om att konsumenten inte är medveten om riskerna och många gånger väljer ett lägre pris framför säkerhet, dels att industrin ofta tänker fel redan från början.
– Security by design, det vill säga att säkerheten ska finnas med från början, ska vara med i kravbilden, efterlyser Anne-Marie Eklund Löwinder.
Hon förklarar:
– Angriparna har ju bara utmaningen att hitta ett enda hål, medan man på försvararsidan måste täppa till hela ytan. Och det är extremt svårt. Men i ett system som från början är designat med säkerhet så implementerar man aldrig några överflödiga funktioner. Så det finns så lite som möjligt att utnyttja.
Prylarna blir också allt mer komplexa. Allt fler funktioner bakas in för att höja prylarnas attraktionskraft på butikshyllorna. Och komplexitet är säkerhetens värsta fiende.
– En webbkamera, till exempel, ska inte behöva kunna skicka trafik på det sättet som de gör. De ska vara designade för vad de ska göra och ingenting annat. Security by design är ett fundament och det måste man börja med nu.