Det er flere år siden det ble avdekket at kompromitterte («hackede») IoT-enheter som internett-tilkoblede kjøleskap, termostater og overvåkningskamera ble benyttet i tjenestenektangrep (DDoS). Dette har nærmest eksplodert over de siste årene. Såkalte botnets, bestående av tusenvis av datamaskiner og IoT-enheter som har blitt infisert av skadelig programvare, benyttes daglig som angrepsverktøy i store og alvorlige dataangrep. Alle nettverkstilkoblede IoT-enheter inneholder hver en liten PC som kan hackes, ofte altfor enkelt.
Hva bør vi gjøre?
Håndtering av sikkerhetsutfordringene som følger med IoT og økende digitalisering, krever en helhetlig tilnærming. Fra produsenter til forbrukere, og fra myndigheter til private organisasjoner, må vi alle ta ansvar for å sikre våre tilkoblede enheter. Dette inkluderer å utvikle samt implementere robuste sikkerhetstiltak, opplæring og informasjon, samt å utarbeide OG håndheve lovverk som styrker sikkerheten. Ved å ta disse grepene, kan vi alle hjelpe til med å hindre at den økende bruken av IoT-enheter ikke fører til en like drastisk økning i trusler mot oss selv igjen.
Advarer: – Slutter å virke etter 2025
Reelle trusler
Det har vært flere høyprofilerte IoT-baserte angrep over de siste årene. I 2016 ble en rekke større nettsteder og kritiske tjenester forstyrret av massive tjenestenektangrep (DDoS) utført av Mirai, et botnet som hovedsakelig besto av infiserte IoT-enheter. Mirai har stått bak tusenvis av DDoS-angrep, og det utvikles stadig forbedrede utgaver samt andre typer, som HinataBot, avdekket i år. DDoS-angrepene mot PST og politiets nettsted samt flere nettaviser siste uke i juli i år, ble med høy sannsynlighet også utført ved hjelp av kompromitterte IoT-enheter.
Enheter kan ofte være kompromitterte over lengre tid («sovende»), uten at det oppdages. New York Times rapporterte i slutten av juli at det var oppdaget sannsynligvis kinesisk skadevare skjult i infrastruktur for strøm, vann og kommunikasjon til militærbaser i USA. Selv om detaljer ikke er offentliggjort, så er det med sannsynligvis IoT- og styringssystemer det er snakk om.
Tilgjengelighet vs. sikkerhet
IoT-enheter er ofte designet for å være kostnadseffektive, brukervennlige og for å enkelt kunne kobles på nett. Mange enheter har altfor ofte store svakheter i sikkerheten – begrensninger i eller ingen muligheter til oppdateringer av fastvare, tilgangsstyring og bruk av kryptering, er alle utbredte problemer.
Integrerte tekniske bygningsinstallasjoner (ITB) er en betegnelse på alt som kan kobles sammen, overvåkes og styres i et byggs tekniske anlegg. I dagens smartbygg kan slike ITB-systemer bestå av nettverk av hundrevis av IoT-enheter, sensorer med mer. Men fremdeles så ser vi ofte at ansvar enten legges til virksomhetenes eiendomsdrift, og ikke til IT-organisasjonen, eller faller helt utenom alle ordinære anskaffelses- og forvaltningsregimer.
Nye krav til dingser: Disse punktene bør du vite om Cyber Resilience Act
Digitale angrepsverktøy
IoT-enheter er blitt et hovedverktøy i kriminelle grupperingers digitale angrepsstrategier. De utnyttes til spredning av skadelig programvare, også kjent som malware, i organisasjoners IT-systemer. Dette kan føre til alt fra driftsforstyrrelser til omfattende datalekkasjer. I dag finnes det flere skadevareformer som er skreddersydde for å utføre målrettede angrep direkte mot IoT-enheter.
Kompromitterte enheter kan misbrukes til skjult overvåking av nettverkstrafikk, samt som steg videre inn i mer kritisk IT-infrastruktur for å hente ut sensitiv informasjon. De kan også benyttes til å forstyrre eller sabotere bygningsinfrastruktur, inkludert styringssystemer for varme, ventilasjon, belysning, sikkerhetssystemer og andre kontrollsystemer. Østre Toten-angrepet, hvor blant annet brannvarsling, pasientvarsling og alarmsystemer ble lammet, er et nært eksempel på hvor sårbare vi er om IoT- og ITB-systemer ikke sikres godt.
IoT i digital krigføring
Under Ukraina-krigen har overvåkningskameraer blitt en sentral brikke. Tusenvis av kamera på begge sider har blitt kompromitterte og omformet til digitale propaganda-, etterretnings- og angrepsverktøy. IT Army of Ukraine har gjennom de siste månedene aktivt søkt opp usikre overvåkningskamera, med formål om å få sikret eller stengt dem ned, slik at de ikke kan misbrukes av russisk etterretning.
Spionasje- og etterretningstrusselen fra Kina er av norske myndigheter ansett som lik, eller større enn fra Russland, spesielt i det digitale domenet. Kinas etterretningslov, og ikke minst datasikkerhetsloven fra 2021, har tilspisset trusselbildet, med blant annet lovpålagt rapportering av oppdagede sårbarheter i IT-utstyr og programvare kun til kinesiske myndigheter, før de kan utbedres eller offentliggjøres. Dette kan gjøre det utfordrende å benytte kinesiske overvåkingskamera, IoT- og nettverksutstyr i eller i tilknytning til kritisk infrastruktur og samfunnskritiske funksjoner.
Lovverk, risiko og omdømme
Flere lover påvirker valg og bruk av IoT-enheter, inkludert personopplysningsloven, GDPR og åpenhetsloven. Overvåkningsvideo og passeringer i adgangskontroll er eksempler på personopplysninger. Smartbyggsystemer kan inneholde personopplysninger, eksempelvis i form av bevegelses og bruksmønster som kan kobles mot enkeltpersoner. Virksomheter må i de fleste tilfeller gjennomføre risikovurderinger og vurdering av personvernkonsekvenser (DPIA) før disse tas i bruk.
Flere produsenter av IoT- og overvåkningssystemer, som Xiaomi, Hikvision og Dahua, ble før sommeren lagt til Ukrainas offisielle «International Sponsors of War»-liste, samme liste som medførte at flere virksomheter sluttet å selge Freia-produkter.
Regulatoriske, omdømme- og sikkerhetsmessige forhold må derfor vurderes sammen som en del av det totale risikobildet når vi anskaffer og benytter sikkerhets-, IoT- og ITB-systemer.
Bakdøren i Linux – en sofistikert etterretningsoperasjon?
