IT-sikkerhet for samfunnsviktige funksjoner - Hva kreves?

Av Henrik Hjelte, Produktsjef IoT, 19.03.18 |

Del:

Stadig mer i samfunnet er koblet opp på internett for å kunne overvåkes og styres på avstand. Men utbredelsen av IoT medfører uro for integritet og sikkerhet.

trainstation_icons_RGB

 17. januar holdt AddSecure et webinar om IT-sikkerhet for samfunnsviktige funksjoner.

Her er et sammendrag av de viktigste temaene som ble tatt opp. Du kan også laste ned et opptak av webinaret ved å trykke på knappen nederst i dette innlegget.

 

1. NIS-direktivet stiller nye krav til mange bransjer

Mens store deler av Europa jobber på spreng for å oppfylle GDPR-kravene, er det noen bransjer som heller ser til NIS-direktivet, også utstedt av EU. Samfunnsviktige bransjer som blant annet energi, transport, helse og digital infrastruktur må ikke bare forholde seg til personvern, men også skjerpede krav til selve systemene de har ansvar for.

Disse kravene inkluderer et generelt høyere sikkerhetsnivå, rapportering ved avvik, samt bedre kontroll over alle enheter via overvåkning. Sistnevnte gjøres via det som kalles managed connectivity, eller overvåkningsløsninger på norsk.

NIS-direktivet trer i kraft 9. mai 2018.

 

2. Enheter åpent på nett kan få store konsekvenser

Det er en lovløs jungel der ute for enheter som ikke er sikret. Data kan enkelt slettes eller endres, kommunikasjonen kan bli brutt, og enhetene kan kapres til bruk i botnett som deltar i massive DDoS-angrep mot viktige tjenester.

For samfunnsviktige bransjer som energi, har dette åpenbart store konsekvenser, som avbrudd av viktige tjenester eller verre. I Sverige ble det oppdaget et vannkraftverk som lå åpent tilgjengelig på nett, uten unik passordbeskyttelse!

Samtidig tenker kanskje mange at deres data hverken er hemmelig eller noe særlig lukrativt mål for uvedkommende. Faktum er at den utstrakte bruken av botnett gjør hver eneste usikrede enhet til en trussel mot det generelle internett. Det som ikke er et mål, blir et våpen.

 

3. Du er enklere å hacke enn du tror

Mange er ikke klar over at det finnes søkemotorer for usikrede enheter. Ikke bare lar det uvedkommende i praksis Google etter ofre, men IoT-malware er som regel programmert til å automatisk søke opp nye enheter å kapre. Som om ikke det var nok ligger kildekoden til de verste malware-variantene åpent ute på nett, og kan brukes til alt fra bedriftsspionasje til rent hærverk.

For å illustrere hvor kjapt den skadelige programvaren kan være på banen, koblet vi et webkamera med offentlig IP-adresse opp på nett. Den første uønskede proben dukket opp etter bare fem minutter, og i løpet av fem dager hadde 1858 ulike adresser vært innom. Hele 18 tilfeller med kjent skadelig kode ble registrert.

 

4. Dette er stegene for en helt sikker løsning

For å kunne føle deg helt trygg på dine enheter, burde du tenke på følgende:

  • Brannmur
  • IP-filtrering
  • Steng av SMS-funksjonen
  • Bytt ut standardpassordet
  • Steng porter og tjenester som ikke brukes
  • Oppdater software og firmware
  • Hold nede antallet brukere
  • VPN-tilkobling
  • Overvåkningsprogramvare

 

5. VPN er viktigst

Skal du kun velge ett av punktene over, er VPN-tilkobling aller viktigst. Dette er Virtuelle PrivatNettverk, som bygger en usynlig tunnel mellom enhetene, og aldri kan sees fra utsiden (altså det åpne internettet). Søkemotorene vil ikke kunne finne deg, og verdens mest avanserte kodeknekker vil ikke kunne bryte gjennom AES-256-protokollen – selv med en hel mannsalder til disposisjon.

Husk bare å bruke sterke passord for å logge inn på VPN-nettet. Selv Fort Knox vil være et enkelt bytte om inngangsdøren kun er beskyttet av «passord123».

New Call-to-action

 

IoT-sikkerhet

Henrik Hjelte, Produktsjef IoT

Av Henrik Hjelte, Produktsjef IoT

Henrik har 10 års erfaring med sikkerhet og sikker kommunikasjon fra Stanley Security og AddSecure. Han er ansvarlig for AddSecure Link, en sikker plattform for IOT-kommunikasjon. Henrik jobber for å forbedre sikkerheten i IOT, og for å sikre at alle enheter kommunisere med hverandre på en trygg måte.
false