Mange, meg selv inkludert, er glade i ny teknologi og alle de fantastiske mulighetene det gir oss. En av de viktigste teknologitrendene vi nå ser er utbredelsen av «Internet of Things» (IoT) eller tingenes internett.
Det kan være enkelt å avlytte data som samles inn via IoT, og det kan på tilsvarende måte være enkelt å forstyrre styringssignaler til IoT-enheter
Enkelt sagt er dette fysiske enheter koblet til internettet, fra støvsugere, varmeovner og leketøy, til industrikontrollere og elbiler. Poenget er at disse enhetene ofte kombinerer sensorer, prosessor- og datalagringskapasitet, med kommunikasjon. Dette siste kan skje over ulike kanaler (radiogrensesnitt) som ofte er relativt enkle og i liten grad sikret mot avlytting eller manipulasjon. Dette fordi IoT-enheter av kostnadshensyn ofte er ganske basale industrikomponenter. Det kan være enkelt å avlytte data som samles inn via IoT, og det kan på tilsvarende måte være enkelt å forstyrre styringssignaler til IoT-enheter.
La oss ta et par eksempler: Det finnes en elektronisk dørklokke med kamera og en app-kobling til mobil. Fra smarttelefonen kan du se hvem som ringer på, og du kan også se når det er bevegelse utenfor. Fint, ikke sant?
Dette er en verdikjede du som bruker åpenbart ikke har kontroll på
Problemet er bare at videostrømmen fra kameraet i ringeklokken går via en eller flere skytjenester for eksempel i USA eller Tyskland. Dette er en verdikjede du som bruker åpenbart ikke har kontroll på – hvem har tilgang, hvem kan lese den videostrømmen? Er det sikkert at du ønsker at det skapes et datasett som viser (over tid), for eksempel når din datter kommer hjem fra skolen, og at det ligger på en server du ikke aner noe om?
Et annet eksempel kan jo være noe så enkelt som en varmeovn. For en tid tilbake opplevde mange hjem at det ble ganske kaldt en vinterdag – fordi skytjenesten (som styringen i ovnen var avhengig av) var utilgjengelig. På samme måte som IoT-enhetene ikke klarte å styre uten skytilgang, så kan de også tenkes manipulert til å styre ut fra falske signaler. Man kan bare tenke seg konsekvensene hvis et stort antall elektroniske ovner plutselig får beskjed om å gi maks effekt samtidig, eller å slå seg av og på helt tilfeldig.
Så langt har jeg snakket om enkle anvendelser i private hjem. Men hva skjer når vi innfører teknologien i annen, kanskje kritisk infrastruktur i samfunnet?
Med økende utbredelse av IoT får vi utstrakt mulighet til maskin-til-maskin kommunikasjon på svært mange områder. Det åpner for å samle inn store mengder data og optimalisere ressursbruk innenfor mange områder, som i helsesektoren, innen samferdsel og trafikkstyring og i kraftindustri. Utfordringen ligger i at vi innfører en rekke nye komponenter uten at vi helt ser rekkevidden av dette, og introduserer sårbarheter som kan manipuleres og utnyttes.
Det bør derfor være en målsetning om å beholde kontroll på verdikjedene våre, spesielt med tanke på infrastruktur vi alle er avhengig av.
Harald Næss
Seksjonssjef, Nasjonalt cybersikkerhetssenter i NSM
