Menneskelige feil er den største trusselen mot IoT-sikkerhet

Av Per Christian Foss, Salgssjef IoT, 16.11.17 |

Del:

Selv verdens mest avanserte teknologi kan ikke beskytte deg om ikke menneskene som drifter den er på vakt.

internet-security-concept-picture-id851986446.jpg
Flere av CERNs IoT-enheter var usikret frem til så sent som 2016. Det krevde omfattende endringer av deres sikkerhetsrutiner. 

Et godt sikret nettverk – enten det er snakk om IoT eller ikke – er i praksis umulig å bryte seg inn i. VPN-teknologien er robust, og ofte så godt kryptert at det selv med det ypperste innen hacking-verktøy ville tatt flere tusen år å knekke koden.

Så hva gjør du om du skal bryte deg inn i et ugjennomtrengelig hvelv?

Enkelt – du lurer vakten som har nøklene.

Social engineering er hacking av mennesker

Det som har blitt kalt «the worst breach of US military computers in history» hendte nettopp som følge av en lettlurt ansatt, i 2008. Pentagon er ikke akkurat kjent for å være et enkelt mål, men alt som skulle til var at én ansatt med tilgang til nettverket deres, plukket opp en uskyldig minnepinne på parkeringsplassen og satte den i en USB-port. Minnepinnen var selvsagt fullstappet med malware, og krisen var et faktum.

Dette er et kroneksempel på social engineering – «hacking» som utnytter svakheter i menneskene som bruker teknologien, fremfor i teknologien selv.

People are the easiest hack.png
Hvordan skal bedrifter opptre for å redusere deres eksponering for cyberangrep? Eksperter snakker om behovet for å ta opp de tre søylene i cybersecurity; teknologi, politikk og mennesker. --Illustrasjonen er gjenbrukt med tillatelse fra Intuition og denne artikkelenPeople are the easiest hack; The Pentagon learns the hard way --

Et annet eksempel er oppringninger over telefon av folk som høres stressede og tidspressede ut, men egentlig bare ønsker å skape sympati, slik at personen i andre enden skal oppgi sensitiv informasjon. Phishing – fisking etter passord o.l. gjennom falsk elektronisk kommunikasjon – er en tredje vanlig fremgangsmåte.

Du tenker kanskje at alle de ansatte vet å være på vakt mot suspekte e-post-lenker, men faktum er at hele 18 prosent vil besøke en lenke de får i en phishing-e-post. Ofte vil det ha sammenheng med at hackerne har sanket inn informasjon om offeret på forhånd, for å øke inntrykket av legitimitet – såkalt spear phishing. Altså kan selv informasjon mange tror er ufarlig å dele, brukes til å hente mer sensitive opplysninger senere.

Slurv er den andre store menneskelige truslen

Vi har dessverre flere dårlige nyheter.

Ofte er nemlig utspekulerte social engineering-teknikker ikke engang nødvendige for å få tilgang til nettverket ditt. Altfor ofte står inngangsdøra allerede på vidt gap.

Pictogram_screenshot.png

Hvorfor?

Fordi man glemmer å endre passord og brukernavn fra fabrikkinnstillingene, for eksempel. Du kan ha tidenes krypteringsalgoritme, men om den kan forbigås ved å taste inn admin/admin, er den ikke verdt stort.

LES OGSÅ: Derfor er sikkerhet ekstremt viktig i IoT

 

Slurv ... hos CERN!

Sjokkerende nok var det akkurat dette som ble oppdaget da CERN utførte omfattende sikkerhetsrutiner i 2016. En rekke enheter koblet til deres IoT-nettverk var i praksis totalt usikret. Og dette er snakk om noen av klodens absolutt smarteste mennesker. Da blir det naivt å tro at din eller min bedrift ikke er utsatte for det samme.

Tilsvarende enkle inngangsporter kan oppstå ved å unnlate å patche programvaren etter at den er kjøpt inn. Egentlig tettede sikkerhetshull blir dermed stående åpne i uoverskuelig fremtid.

Videre kan vi nevne dårlig oversikt over hvem som har tilgang til nettverket. Har du ingen god managed connectivity-løsning, kan du plutselig ende i en situasjon hvor en tidligere ansatt fortsatt kan logge inn. Det er ikke alltid like heldig. Svak autorisering kan også bety at du åpner deg for man-in-the-middle-angrep, hvor noen stiller seg mellom avsender og mottaker og usett plukker opp all dataen på veien.

Abonner på bloggen

Gode rutiner er nøkkelen

Vi kan godt stoppe å liste opp menneskelige brister her. Listen er lang, og du har sikkert skjønt poenget for lenge siden.

Nøkkelen for å unngå alle disse er å opprette gode rutiner, og skikkelig opplæring av de ansatte. Sørg for at alle med tilgang til nettverket ditt kjenner til disse fallgruvene, og at du har trygge prosesser for å unngå dem.

Er du fortsatt usikker, kan det være mye å hente ved å outsource nettverksdrift eller overvåkning til profesjonelle, som allerede har gode rutiner og kunnskap på plass.

 

IoT_uttrykk_no_mobil

IoT-sikkerhet

Per Christian Foss, Salgssjef IoT

Av Per Christian Foss, Salgssjef IoT

Per Christian har 7 års erfaring fra Internet of Things-området, innen forretningsutvikling, salg og produktledelse. Han har et stort engasjement for IoT, for hvordan det å koble enheter til internett kan gi store fordeler for bedrifter, enkeltindivider og for samfunnet som helhet. Per Christian har jobbet med en lang rekke vertikaler innen IoT, som connected cars, smarte byer, sikkerhetsløsninger og selvkjørende busser.
false