I veckan läste jag en artikel som talade om kryptering som säkerhet, men verklig säkerhet går mycket djupare än att bara kryptera en webbanmälan.
Kryptering är fundamentalt viktigt, men om man tittar på några av de relaterade hashingstandarderna (t.ex. hashing http://valerieaurora.org/hash.html) ser man att många har en livslängd på mindre än tio år. Om man dessutom tar hänsyn till den ökade datorkraften och hur den möjliggör brute forcing av svagare protokoll är situationen ännu värre. Det enda verkliga försvaret är att uppdatera programvaran eller byta ut den mycket ofta. Detta gäller både för själva enheten och för kommunikationsinfrastruktur, t.ex. routrar eller webbservrar.
Om man gräver djupare och bara tittar på enhetens programvara: nästan alla enheter är byggda med ett generiskt operativsystem som oundvikligen kommer att kräva löpande uppdateringar tills det når slutet av supportperioden. Om inga patchar appliceras kan enheterna utsättas för intrång utan att krypteringen i protokollen ens bryts. Denna kompromiss skulle sedan göra all kryptering meningslös eftersom källdata exponeras. Ännu värre är att det kan vara mycket svårt att bevisa att en infektion har avlägsnats helt, vilket kan kräva att hårdvaran byts ut för att åtgärda problemet.
För att skydda din lösning bör du inse att system inte är statiska och att de bör uppdateras regelbundet. Uppdateringen får inte vara dyr (t.ex. genom att kräva att en tekniker kommer på besök) eftersom det skulle avskräcka från uppdatering. Den bör också ingå i den normala hanteringen av systemet, antingen av dig eller av dina leverantörer.
Saker att tänka på när du fastställer din säkerhetspolicy
Viktiga aspekter att tänka på och frågor att ställa sig när man bygger upp sin säkerhet:
- Har enheten tillräcklig kapacitet för att hantera framtida säkerhetsuppgraderingar under den förväntade livslängden (processor och minne)?
- Har ni en process för uppdatering av enheter och testar och använder ni den ofta?
- Ger era leverantörer långsiktigt stöd för utvecklings- och kommunikationsmiljöer?
- Hur isolerade från den elektroniska världen är era enheter - finns de i opålitliga offentliga nätverk eller privata nätverk?
- Kan ni övervaka enheter för att upptäcka förändringar i beteendet utan att förhöra enheten? Förändringar i trafiken kan tyda på en kompromiss.
- Om enheterna inte beter sig som förväntat, kan ni då diagnostisera och fjärrstyra dem, isolera dem eller uppdatera dem i tid?
- Hanteras och uppdateras hela lösningen regelbundet?
- Hur säker är uppdateringskanalen?
- Hur motståndskraftig är den stödjande infrastrukturen, kan den användas för att orsaka en DoS eller ett avbrott?
Föreslagna standarder för att säkerställa konsekvent säkerhet för hela IoT-distributionen
På många sätt liknar lösningen den som krävs för att uppfylla GDPR-kraven: Enheterna ska bara göra det de behöver göra och onödiga funktioner ska inte läggas till i systemet förrän de behövs. Enheterna ska utformas och hanteras på ett kontrollerat sätt, och de ska kunna inaktiveras. Enheterna bör inte ha tillgång till data eller vara exponerade i ett nätverk om det inte krävs för deras funktion. Den IT-miljö som de existerar i bör förstås och dokumenteras. Oberoende övervakning bör säkerställa att felkonfigurationer, exploateringar eller andra oväntade beteenden upptäcks snabbt för att minska risken för exponering och minimera skadans omfattning. Enheterna måste hållas uppdaterade både när det gäller kärnbibliotek och programvara, men också när det gäller teknik och sårbarheter. Revisioner måste genomföras för att säkerställa efterlevnad. Problem ska snabbt identifieras, hanteras, begränsas och vid behov kommuniceras.
Alla dessa begrepp finns i nuvarande säkerhetsstandarder. De är mycket viktigare än att bara säga "använd AES-256", vilket faktiskt inte är ett uttalande om säkerhet utan ett protokollkrav. Om AES-256 används med en SSL 3.0-stack kommer det att vara osäkert.
Om man inte inser att säkerhet kräver ett helhetsperspektiv riskerar man fortfarande att fastna i Internet of Compromised Things.
På Tele2 är IoT-säkerhet kärnan i utvecklingen av produkter och lösningar, liksom i vår dagliga agenda med våra kunder och partners. Om du vill veta mer om hur IoT kan hjälpa ditt företag är du välkommen att kontakta oss.