IoT-SIKKERHED: Nyt projekt skal hjælpe virksomheder med at højne sikkerheden i Smart Home og andre IoT-produkter

 

Virksomheder skal have hjælp til at identificere de trusler, der kan være i forbindelse med IoT, Smart Home og Smart Buildings - også kendt som Build 4.0. Nyt projekt skal arbejde med trusselsvurdering, sikkerhedsteknologier og udviklingsmodeller, der kan højne sikkerheden.

Det handler om gode sikre IoT-produkter. Sagerne om de dårligt sikrede IoT-produkter står nemlig i kø. Dem kan du læse om i denne bog, der handler om IoT og sikkerhed - udgivet af Alexandra Instituttet. Sagerne tæller bl.a. My Friend Cayla dukken og GPS-urene til børn, der kunne hackes. Det nye projekt vil have et særligt fokus på IoT, men også Smart Home og Smart Buildings.

30 milliarder enheder forbundet til internettet

I 2020 forventes det, at der vil være 30 milliarder enheder forbundet til internettet. Produkterne bliver en vigtig del af vores samfund og hverdag. De gør det muligt og lettere at udbrede smarte enheder og smarte tjenester. Det gør, at vi kan realisere potentialet i Smart Home, Smart Buildings og Smart Society. De mange enheder kan dog udgøre en risiko i form af udfordringer for sikkerhed og privatliv. Mange af enhederne har personlige oplysninger om os, og nogle af IoT-produkterne kan være sårbare og have svagheder i forhold til et potentielt hackerangreb.

Virksomhederne skal derfor udstyres med værktøjer, så de selv bliver i stand til at lave en trusselsvurdering af deres IoT-produkt. Og her kan flere metoder være brugbare. Dem kommer vi til senere.

Start med de grundlæggende sikkerhedsspørgsmål

Inden trusselsvurderingen er det nemlig nødvendigt, at virksomhederne stiller sig selv nogle grundlæggende spørgsmål om deres produkt. Hvad er vigtigst omkring produktets sikkerhed og hvorfor? Og hvad betyder det, at et produkt er sikkert? Er det f.eks. vigtigt, at data fra produktet er hemmelige? Kan produktet bruges til angreb på andre ting? Eller kan produktet lække forretningsmæssige data om producenten? Og er det sikkert nok i forbrugerens hænder, så hun ikke risikerer at få sine personlige oplysninger hacket? Og hvad er sandsynligheden for, at nogen overhovedet angriber vores produkt?

Spørgsmålene er mange men enormt vigtige at tage i starten af et udviklingsprojekt, påpeger it-sikkerhedsekspert Gert Læssøe Mikkelsen fra Alexandra Instituttet.

"Spørgsmålene er med til at skabe en fælles forståelse i virksomheden om IoT-sikkerhed og en kultur omkring, at it-sikkerhed er vigtigt og derfor bør have et centralt fokus i produktet."

Behovet for at få virksomheder til at tænke IoT-sikkerhed er altså klart til stede. Og metoden, der bl.a. kan hjælpe, er Attack Tree.

En trusselsvurdering der tager dig fra mavefornemmelse til facts

"Attack Tree er en formaliseret metode til at vurdere, hvilke trusler der er. Du går fra mavefornemmelsen om, at dit produkt kan have visse svagheder til vide, hvad de er. Attack Tree er en rigtig god metode for virksomhederne at bruge - før de går i gang med at lave produktet. Og når de så kender trusselsbilledet, kan de målrettet gå efter den rette kryptografi," siger Gert Læssøe Mikkelsen.

Og projektet vil benytte kendte krypteringsværktøjer, der skal hjælpe med at afdække, hvordan værktøjerne kan blive brugt omkring smarte produkter og smarte hjem.

Avanceret kryptering

Én af disse er mulitiparty computation. Værktøjet giver mulighed for at bruge data på tværs af organisationer uden at dele din data med f.eks. konkurrenten, fordi den forbliver krypteret.

"Det kan være, at to konkurrerende producenter ikke er interesseret i at få delt deres forretningshemmeligheder om netop deres IoT-produkt. Her er multiparty computation god, da du kan dele data og lave beregninger mens de stadig er krypterede for den anden," siger Gert Læssøe Mikkelsen.

Andre teknologier projektet måske vil afprøve inden for it-sikkerhed i Build 4.0 er letvægtskryptografering.

"Smarte bygninger vil typisk være udstyret med indbyggede sensorer, der f.eks. måler fugt i væggen. Men sensorerne har ikke kapacitet til at køre tunge krypteringsteknologier, og vil i stedet blive udstyret med letvægtskryptografering. Formålet med at hacke noget, der måler fugt i væggen kan f.eks. være, at de data der bliver taget ud, kan fortælle noget om den cement, der bliver brugt - eller en anden forretningshemmelighed. Så kryptering i sensorer kan også være for at beskytte dem der laver sensoren, som det er for at beskytte dem der køber produktet," afslutter Gert Læssøe Mikkelsen.

 

 

Kontakt

Faglig koordinator
Gert Læssøe Mikkelsen
Alexandra Instituttet
Tlf. +45 24 26 99 11
E-mail

 

Projektet er finansieret af InfinIT og starter i februar 2018 med virksomhederne Nilfisk, Neogrid Technologies, Seluxit, Xtel Wireless, Alexandra Instituttet og Aalborg Universitet som partnere.

Du er velkommen til at kontakte Alexandra Instituttet for mere viden om projektet. Se kontaktoplysninger ovenfor.

 

Netværkets aktiviteter er medfinansieret af Uddannelses- og Forskningsministeriet og drives af et konsortium bestående af:
Alexandra Instituttet . BrainsBusiness . CISS . Datalogisk Institut, Københavns Universitet . DELTA . DTU Compute, Danmarks Tekniske Universitet . Institut for Datalogi, Aarhus Universitet . IT-Universitetet . Knowledge Lab, Syddansk Universitet . Væksthus Hovedstadsregionen . Aalborg Universitet