Sakernas internet och säkerhet

Sakernas internet kräver förändringar i mjukvaruindustrin

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 5 Minuter

Nyligen deltog jag i Cyber3 Conference i Okinawa, Japan. Eventet organiserades av Japans regering och World Economic Forum. Jag var del av en panel som diskuterade konsekvenser av att allt mer saker är uppkopplade överallt och cyber-säkerhet. Följande blogg är baserad på dom teman jag tog upp när jag satt i panelen.

Sakernas internet är åtminstone 20 år efter den etablerade mjukvaruindustrin i sin medvetenhet om cyber-säkerhet.

Kom ihåg hur Microsoft var innan deras ”Trustworthy computing” initiativ. Inga automatiska uppdateringar, inga brandväggar, egenskaper och deras gamla support bröt säkerhetsregler, dålig kontroll över vad tredjeparts utvecklare tilläts göra med operativsystemet.

Microsoft är ett typexempel över de positiva effekterna som uppstår när en leverantör börjar ta säkerhet på allvar. Windows 95 var en katastrof, men lyckligtvis var internet en vänligare plats på den tiden. Windows 10 är inte bara ett påtagligt säkert operativsystem, men över åren har Microsoft gjort en seriös ansträngning att få bort all historisk kod genom att ta avstånd från och ta bort egenskaper som inte är klokt att använda längre. Från ett säkerhetsperspektiv är Microsoft 2015 ett helt annat företag än det var 1995. Även om Windows XP var anpassat för internet 2002, är det inte det längre. Vem är det som berättar det här för dig först? Microsoft!

Av någon anledning är den mest populära plattformen för sakernas internet Linux, ofta i formen av Android, vilken ofta upplever liknande hot: säkerhets uppdateringar vilka ofta skapas når inte slutanvändarna för distributörer och tredjepartsleverantörer inte upplever att dom är en kritisk prioritering. Resultatet är att sakernas internet fylls med konsument-och företagsutrustning som inte är säkerhetsuppdaterade och alltmer osäkra.

Precis som Windows 95 inte var i form för internet, upplever jag sakernas internet inte heller är det. Givet tillväxt volymen i sakernas internet är jag rädd för att det kan bli omvända roller, att internet inte är redo för hotet från sakernas internet.

Jag manar på leverantörerna av sakernas internet att lära sig från mjukvaruindustrin och ta hand om sårbarhetshantering. Det finns två stycken ISO standarder om leverantörers sårbarhet som jag uppmuntrar företagen att bekanta sig med. Notera att du måste betala för att se standarderna: ISO/IEC 29147:2014ISO/IEC 30111:2013.

Samtidigt manar jag på tillverkarna att inte bara acceptera utan också uppskattar det faktum att slutanvändare, forskare, regeringar kommer att titta på säkerheten av deras produkter. Var förberedd på att få sårbarhetsrapporter som du måste hantera offentligt. Bli involverad i Bug Bounty program (program där leverantörer erbjuder hittelön och uppskattning till sådan som heter fel i deras program), skapa undantag för slutanvändarlicenser för att kunna erbjuda säkerhetsforskning, och anpassa din utvecklingsprocess för att kunna svara på kritiska sårbarheter på ett effektivt sätt. Var medveten om att det finns organiserade Bug Bounty program som är tillgängliga för att hjälpa dig.
Ibland kan problemen med säkerheten kring sakernas internet gå utanför det självklara… Tänk exempelvis på självkörande bilar. De använder algoritmer för att fatta beslut. Vad händer om det bara finns dåliga alternativ tillgängliga? Ska en bil köra på en ensam gående för att undvika att krocka i en folkmassa? Vad händer om den ensam gående är ett barn och folkmassan pensionärer? Vad hade hänt om den andra bilen kunnat utbyta data för att undvika kraschen men misslyckades med att göra så? Eller att datan inte var tillgänglig beroende på ett problem i en basstation i mobilnätet eller i molnet? Det går att fortsätta en sådan här tankebana i absurdum.

För några dagar sedan hade jag en trevlig diskussion med en advokat som heter Mark Deem som är en partner till Cooley, en advokatfirma baserad i Storbritannien. Mr Deem noterade att det finns inga prejudikat gällande ansvaret för beslutsfattande baserat på algoritmer. Den senaste rättsliga konstruktion går hela vägen tillbaka till antika romerska rätten. Under romartiden kunde skada orsakats av en slav vara ägarens ansvar. Vad är motsvarigheten i det moderna samhället till slavägaren? Passageraren till en självkörande bil? Leasing eller finansbolaget som faktiskt äger bilen? Återförsäljaren eller agenturen av bilen? Biltillverkaren som försöker patentera mjukvaran? Underleverantören som faktiskt skrev programkoden? Myndigheten (regulatorn) som gav ut riktlinjer eller inte gjorde det?

Om vi inte ser en förändring i tankesättet gällande säkerhet och hur mjukvaror utvecklas och underhålls kommer vi att se en enda stor röra.

F-secure kommer att tillkännage en ny säkerhetslösning för att säkra sakernas internet i hem och på små kontor. Vi känner att det är rätt väg framåt, det är en absolut nödvändighet att sakernas internet kan operera i en relativt säker miljö. Vilket är ironiskt med tanke på att dom flesta sakerna bara pluggas in till internet utan någon som helst säkerhetsskydd.

Se vad Charlie Miller och Chris Valasek fann med Chryslers uConnect. Jeeparna var direkt anslutna till Sprints mobilnät! När det gick upp för Chrysler att deras fordon med uConnect kunde acceptera inkommande trafik, skyndade mobiloperatören att tillämpa trafik filter för att skydda dom sårbara bilarna.

Det är dags att adoptera ett liknande holistiskt synsätt för att säkra sakernas internet. Säkerheten måste komma från yttre lager i situationer då saken ej kan skydda sig själv.

För närvarande ses sakernas internet som ett sätt att ge fysiska enheter internetuppkoppling. Det finns ett behov att förflytta sig från den premissen och transformera affärsmodellen från att sälja saker till att erbjuda debiterbara funktioner.

När man förstår att tjänster är källan till intäkter och sakerna är reducerat till en bil som levererar tjänsten. Först då förstår man värdet att skydda en sådan enhet.

De är inte ”bara” enheter som kunderna har tagit hem, de är en integrerad del av en värdekedja.

Nätverk är enkla. Att förstå dess potential och konsekvenser är svårt. Det är inte bara en teknisk övning, utan snarare en ekonomisk, social och psykologisk. Vi behöver ekonomer lika väl som goda ingenjörer.

 

Skrivet av Erka Koivunen, Cyber Security Advisor, F-Secure

 


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s