5 frågor om IoT och cybersäkerhet

Hur bör säkerhetsprocessen se ut i ett IoT-projekt?
Det skiljer sig förstås från projekt till projekt, men först och främst börjar den med en grundlig behovsanalys. Vad är syftet? Hur skall datautbytet ske mellan enheter, servrar och eventuella användare? Vilka yttre omständigheter kan enheterna misstänkas utsättas för? Vilka interface, virtuella som fysiska, är potentiella angreppspunkter och hur kan man reducera dessa? Och vektorer som inte går att undkomma, hur härdar man dem?

Med andra ord; det viktigaste är att det faktiskt finns ett säkerhetstänk från ett tidigt stadie, så det inte kommer som en efterkonstruktion när skadan redan är skedd. Då kan man uppgradera lösningen istället för att "lappa och laga".



Vilka länkar är de svagaste i IoT-kedjan vad gäller säkerhet?
Det finns ett par vanliga fallgropar som förekommer hos många när man ger sig in i sina första IoT-projekt eller expanderar redan existerande lösningar. Den listan inkluderar klassiska bovar som att använda standardlösenord (eller allt för sällan rotera lösenord) eller att man gör enheter tillgängliga direkt via internet.

Som tur är är det inte jättesvårt att undvika dessa. Man kan exempelvis på ett effektivt vis skilja enheterna helt från internet med ett kundunikt APN med en VPN-integration.

Man ska också komma ihåg att IoT-enheter inte nödvändigtvis kan vara vägen in för en attack på er egen infrastruktur. Det kan lika gärna vara så att den interna infrastrukturen agerar språngbräda UT till enheterna för att skapa förstörelse i de tjänster man levererar mot slutkunder, eller hot om förstörelse, det vill säga utpressning.

Här går också säkerheten för IoT och mer traditionell IT-säkerhet ihop, och en duktig hacker kan utnyttja detta för att ta sig vidare. Återigen är det en fråga om helhetsbilden.

IoT är fortfarande ganska nytt, tänkte man säkerhet från början eller har det tillkommit mer och mer?
För oss på Telenor har det alltid funnits där, men det har länge funnits ett gap i medvetenheten hos många därför att IoT inte från början varit en del av den egna kärnverksamheten. Det vi ser nu är att det gapet minskar snabbt i takt med att det har blivit lukrativ affärsverksamhet för illvilliga hackers att på bred front anfalla allt man kommer över.

Mobilnäten har länge kontrollerat om en enhet är den som den säger sig vara, men med 5G börjar processen med att enheten faktiskt verifierar att nätet är giltigt. Nya nät kommer ju också med andra nya säkerhetsmekanismer och starkare kryptering som ytterligare stärker integriteten i nätverken.

Men det är sällan i dessa lager som attacker sker för där är säkerheten redan väldigt god. Istället är det som tidigare nämnts olika ändpunkter och knytpunkter som blir utsatta. Och då är vi tillbaka i den snabbväxande IoT-världen som fortfarande är ganska mycket vilda västern.

Bonusfråga: Varför är Telenor rätt IoT-partner?
Vi kan inte bara den ofta lite mystiska "cellulära världen" utan även hur den hänger ihop med andra teknologier också. Vi kan också med god nätdesign bygga ihop våra säkerhetstjänster som klassiskt används för att säkra upp WAN, LAN, och WiFi med våra egna nationella mobilnät. Då kan man göra rätt från början, och behöver inte hitta nödlösningar längre fram.

Vi kan också hjälpa till med en andra åsikt om redan existerande lösningar, inte bara genom konsultation, men även penetrationstester där våra egna etiska hackare låtsas att de är stygga aktörer som angriper hela miljön. Det resulterar i en unik rapport med åtgärder som rekommenderas. Det brukar bli en rejäl ögonöppnare som faktiskt skapar ett underlag som kan lyftas in i den egna verksamhetens övergripande säkerhetsprocess.