Begreb som Internet of Things (IoT) og Industry 4.0 er blevet benyttet flittigt i de seneste år, og det er ikke småting, der bliver lovet af løsninger. Det er lige fra at køleskabet selv kan bestille de varer, som er ved at være brugt op til overvågning af produktionslinjer og godstransport. Der er mange gevinster at hente både økonomisk og samfundsmæssigt. Alle systemerne har en meget fornuftig pålidelighed, med andre ord fungerer de næsten 100 % af tiden.
Af Jeppe P. Bjerre
Dette kræver selvfølgelig, at produkterne er skruet ordentligt sammen, og at deres kommunikationsforbindelser er sikre. Men hvordan sikrer man sig, at de flere hundrede enheder, der spås om, at vi snart har i hjemmet, er tilstrækkeligt sikre og forbliver sikre i hele deres levetid? Hvordan sikrer man, at enheder, der skal leve i mere end ti år uden on-site service, forbliver sikre?
Når vi snakker datasikkerhed kan dette dække over en lang række områder. Overordnet set omhandler det modstandsdygtighed overfor angreb. Disse angreb kan blandt andet have til formål at stoppe eller forhindre funktionaliteten af en enhed eller netværk (Denial-of-service), at stjæle følsomt data, at installere malware (botnet), at ændre eller fjerne data, at give adgang til det tilsluttede netværk, og sådan kan man forsætte. Grundessensen er, at datasikkerhed er noget, der er vokset ud af en nødvendighed. Og er nået langt.
Med IoT begynder en ny udvikling af internettet. Mængden af forbundne enheder stiger nærmest eksponentielt samtidig med at kompleksiteten stiger og priserne falder. Ligeledes begynder der at komme langt større variation af de enheder, der bliver tilsluttet. Hvor det tidligere hovedsageligt var computer og telefon, almindelige mennesker havde tilsluttet, kommer der flere og flere fjernsyn, kaffemaskiner, tørretumblere og vandflasker ind i den digitale revolution. Udfordringen her er, at de udviklere, som er enormt dygtige til at lave kaffemaskiner, muligvis ikke er verdensmestre i datasikkerhed og derfor uden at vide dette, kan sende et produkt på markedet, som kan give adgang til en virksomheds interne netværk.
Systemintegration
Når der for alvor begynder at komme produkter på markedet, hvor datasikkerhed ikke tidligere har været relevant, er det forventeligt, at ikke alle udviklere har lige god indsigt i, hvordan de skal sikre deres produkt. Dette kan betyde, at der er foranstaltninger, der ikke bliver taget, simpelthen fordi udviklerne ikke har kendskab til disse, eller at der ikke bliver afsat tilstrækkelige ressourcer til at løse opgaven grundet manglende erfaring med at udvikle produkter med en mere avanceret elektronik end før. Dette er tidligere set, hvor en køleskabsproducent implementerede en tabletlignende enhed på forsiden af køleskabslågen, som kunne vise mails, facebook og lignende over en WiFi forbindelse med SSL. Problemet ved dette var, at SSL certifikater ikke blev valideret og WiFi forbindelsen var derfor ikke sikret mod Man-in-the-middle angreb. Det var derved muligt for en angriber med WiFi forbindelse at udgive sig for at være for eksempel Google og opsnappe brugernavn og kodeord til en googlekonto.
