IoT för företag: Varför säkerhet för IoT-enheter måste vara den främsta prioriteringen

Facebook
Twitter
LinkedIn

Antalet IoT-enheter runt om i världen fortsätter att öka. Globalt finns det nu mer än 26 miljarder uppkopplade enheter, enligt forskning från Statista – en ökning från 15 miljarder 2015 – och antalet förväntas öka till över 75 miljarder 2025. Under 2018 uppgick den globala IoT-marknaden till cirka 164 miljarder dollar och förväntas öka nästan tiofaldigt under de kommande sex åren och nå cirka 1,6 biljoner dollar 2025. IoT-teknikens popularitet förändrar drastiskt hur samhället fungerar och hur företag drivs. Oavsett om det handlar om tillverkning, transport, telekom, logistik, detaljhandel, försäkring, finans eller sjukvård kommer den enorma spridningen av IoT-teknik att förändra praktiskt taget alla branscher på planeten. Men i takt med att allt fler IoT-enheter distribueras över hela företaget uppstår nya utmaningar för utvecklarna – och att säkra IoT-system är en av de viktigaste.

(Bildkälla: statista.com)

IoT i företaget

Även om mycket av mediebevakningen kring IoT har fokuserat på konsumentprodukter – smarta högtalare, termostater, lampor, dörrlås, kylskåp osv. – några av de mest spännande IoT-innovationerna kommer från företagssektorn. Kombinationen av sensordata och sofistikerade analysalgoritmer gör det möjligt för företag inom en rad olika branscher att effektivisera verksamheten, öka produktiviteten, utveckla avancerade produkter och lösa gamla affärsproblem. Tänk dig att alla typer av utrustning och maskiner – från jetmotorer till HVAC-system – ständigt övervakas med sensorer för att förutsäga var fel uppstår och automatiskt undvika driftstopp. Eller vad sägs om att information om förarens hastighetsbeteende delas i realtid med ett försäkringsbolag – eller att geolokaliseringsfyrar skickar riktade annonser och marknadsföringsmeddelanden till kunder när de befinner sig i eller i närheten av en butik. Användningen av data från IoT-sensorer och styrenheter för bättre beslutsfattande – i kombination med automatisering för bättre effektivitet – är enormt värdefull. Därför är det allt fler företag som ansluter sig till IoT-revolutionen.

84 % av de över 700 chefer från en rad olika branscher som intervjuades i en Forbes Insights-undersökning förra året uppgav att deras IoT-nätverk hade vuxit under de senaste tre åren. Dessutom uppgav 60 % att deras organisationer expanderar eller omvandlas med nya affärsområden tack vare IoT-initiativ, och 36 % övervägde potentiella nya affärsinriktningar. 63% levererade redan nya eller uppdaterade tjänster direkt till kunderna med hjälp av IoT.

Sett till bransch rapporterade nästan sex av tio (58%) chefer inom finanssektorn att de hade välutvecklade IoT-initiativ, liksom 55% av dem inom hälso- och sjukvård, 53% inom kommunikation, 51% inom tillverkning och 51% inom detaljhandel.

(Bildkälla: info.forbes.com)

Undersökningen visade också att användning av IoT som en del av en strategi för affärstransformation ökar lönsamheten. 75% av de ledande företagen anser att IoT har bidragit till ökade intäkter. 45 % rapporterade att IoT hade bidragit till att öka vinsten med upp till 5 % jämfört med föregående år, ytterligare 41 % sa att det hade ökat vinsten med 5-15 % och 14 % hade upplevt en vinstökning på mer än 15 % – och alla förväntade sig att sakernas internet skulle ha en betydande vinstökande inverkan under det kommande året.

(Bildkälla: info.forbes.com)

Men nyckeln till lönsamhet och affärsmässig framgång med IoT-teknik är säkerhet. Tillsammans med att utveckla/underhålla lämpliga algoritmer/programvara och snabb utrullning var IoT-säkerhet en av de tre största IoT-utmaningarna som nämndes av cheferna. Hur säkerställer organisationer integriteten för sina IoT-data? Hur säkerställer de att de olika operativa system som automatiseras med hjälp av tekniken styrs på avsett sätt? Det här är frågor som måste besvaras, eftersom man har lärt sig en hel del om IoT-säkerhet under de senaste åren.

IoT-säkring i företag – en ständig utmaning

I takt med att antalet anslutna IoT-enheter i företagen ökar uppstår nya hot. DDoS-attacker (Distributed Denial of Service) ger ett antal uppmärksammade exempel. Här kapas sårbara anslutna enheter av hackare och används för att skicka upprepade och frekventa frågor som bombarderar Domain Name Server (DNS), vilket gör att den kraschar. Till exempel stängde Mirai-botnätet 2016 ner stora internetleverantörer i Nordamerika och Europa genom att ta över hundratusentals IoT-enheter – främst IP-säkerhetskameror, nätverksvideorecorders och digitala videobandspelare – och använda dem för en DDoS-attack.

Mirai kunde dra nytta av dessa osäkra IoT-enheter på ett enkelt men smart sätt – genom att söka efter öppna Telnet-portar på stora delar av internet och sedan försöka logga in med 61 kombinationer av användarnamn/lösenord som ofta används som standard för dessa enheter och som aldrig ändras. På så sätt kunde man samla ihop en armé av komprometterade CCTV-kameror och routrar för att genomföra attacken. Det kanske mest oroande av allt är dock att källkoden till Mirai-botnätet fortfarande finns ”in the wild”, vilket innebär att vem som helst kan använda den för att försöka genomföra en DDoS-attack mot företag som implementerar IoT – och många cyberbrottslingar har gjort just det.

Ett annat exempel är ett amerikanskt universitet som 2017 plötsligt upptäckte att över 5 000 IoT-enheter på campus – inklusive varuautomater och glödlampor – gjorde hundratals DNS-frågor var 15:e minut till underdomäner med anknytning till fisk och skaldjur. Botnätet spred sig över nätverket och inledde en DDoS-attack, vilket ledde till långsamma eller helt otillgängliga anslutningar över hela campus. Återigen var det svaga standardlösenord som gjorde dessa enheter sårbara.

Ett av de största problemen med IoT-enheter som används på arbetsplatser är att många av dem inte är säkra i sig själva. En del av problemet är att det finns bokstavligen tusentals enskilda IoT-tillverkningsföretag – varav många startade sitt liv på konsumentmarknaden – med mycket liten överensstämmelse mellan dem. Det innebär att varje IoT-enhet som hamnar på arbetsplatsen – oavsett om det är en glödlampa, varuautomat eller övervakningskamera – sannolikt kommer att ha sitt eget operativsystem. Varje enhet kommer sannolikt också att ha sin egen säkerhetsinställning – som skiljer sig från alla andra uppkopplade enheter på kontoret – och en egen kontrollpanel online som den styrs från. Många av dessa enheter levereras också med förinställda användarnamn och lösenord, vilket gör dem direkt hackningsbara. Samtidigt tar tillverkarna inget eller mycket litet ansvar om någon av dessa enheter hackas, vilket innebär att ansvaret för att säkra IoT i alla dess former helt faller på en organisations IT-avdelning – och alltför ofta är det ingen som har tilldelats denna kritiska uppgift.

Vad är det som gör den så viktig? Tack vare Shodan – en specialiserad sökmotor som låter användare hitta information om IoT-enheter (inklusive datorer, kameror, skrivare, routrar och servrar) – kan alla, inklusive hackare, hitta enheter som använder standardinloggningar med en enkel webbsökning. Men det som är bra för hackare kan också vara bra för företag. Även om själva existensen av Shodan kanske är skrämmande, bör IT-proffs använda sökmotorn proaktivt som ett säkerhetsverktyg för att ta reda på om någon information om enheter i företagets nätverk är offentligt tillgänglig. Därefter är det upp till dem att säkra IoT.

(Bildkälla: shodan.io)

En annan fråga som gör det absolut nödvändigt att säkra IoT-enheter är hotet från spionteknik och ransomware. Många IoT-enheter har mikrofoner, kameror och möjlighet att registrera var de befinner sig, vilket gör organisationer sårbara för stöld av känsliga uppgifter eller för att företagshemligheter avslöjas och kan utkrävas som lösensumma. Saker som IoT-aktiverade fastighetssystem kan också lämnas öppna för övervakning eller inblandning från illvilliga tredje parter. En hackare kan t.ex. låsa alla dörrar i en kontorsbyggnad eller bryta strömmen. Forskare vid Def Con visade t.ex. hur ett sådant system kan utsättas för ransomware genom att man får full fjärrkontroll över en ansluten termostat. I ett verkligt scenario kan en sådan attack leda till att ett kontor blir obeboeligt, vilket gör att organisationen måste kräva lösensumma för att återfå kontrollen.

Kort sagt, med det ständigt ökande antalet IoT-enheter som en organisation förlitar sig på växer attackytan i samma takt – liksom oförutsägbarheten när det gäller hur hackare kan försöka utnyttja dem.

De enorma kostnaderna för att inte säkra IoT

Att säkra IoT bör vara en topprioritet för praktiskt taget alla företag av den enkla anledningen att praktiskt taget alla företag har investerat i IoT. Enligt en färsk undersökning från DigiCert – State of IoT Security Survey 2018 – rapporterar 92 % av organisationerna att IoT kommer att vara viktigt för deras verksamhet 2020. De intervjuade cheferna nämnde ökad operativ effektivitet, förbättrad kundupplevelse, ökade intäkter och smidigare verksamhet som de fyra viktigaste målen för deras IoT-investeringar.

(Bildkälla: digicert.com)

Att säkra IoT är dock fortfarande det största problemet för 82 % av dessa organisationer. Och det är inte så konstigt – hela 100 % av företagen i bottenskiktet (dvs. de företag som har störst problem med IoT-säkerhetsfrågor) hade upplevt minst en IoT-säkerhetsincident under 2018. Av dessa rapporterade 25% relaterade förluster på minst 34 miljoner USD under de senaste två åren.

(Bildkälla: digicert.com)

Dessa företag i bottenskiktet löper mycket större risk att drabbas av dataintrång, malware/ransomware-attacker, obehörig åtkomst/kontroll av IoT-enheter och IoT-baserade DDoS-attacker än företag i toppskiktet (dvs. de företag som är bäst förberedda när det gäller IoT-säkerhet). Så – vad gör toppföretagen annorlunda? DigiCert fann att de alla hade fem viktiga beteenden gemensamt – de säkerställde enhetens dataintegritet (autentisering), implementerade skalbar säkerhet, säkrade uppdateringar över luften, använde programvarubaserad nyckellagring och krypterade alla känsliga data.

Mike Nelson, Vice President för IoT Security på DigiCert, kommenterar detta i ett tal till Security Now om resultaten: ”De säkerhetsutmaningar som IoT medför liknar de många IT- och internetsäkerhetsutmaningar som branscherna har stått inför i åratal. Kryptering av data under överföring, autentisering av anslutningar, säkerställande av dataintegritet – dessa utmaningar är inte nya. Men i IoT-ekosystemet kräver dessa utmaningar nya och unika sätt att tänka för att se till att det sätt på vilket du löser dessa utmaningar fungerar. När det gäller utvecklingen av säkerhetsutmaningar är den största utmaningen helt enkelt skalan och omfattningen av tillväxten. Att ha skalbara lösningar kommer att vara avgörande.”

(Bildkälla: digicert.com)

Avslutande tankar

IoT har potential att öppna upp många nya möjligheter för tillväxt och flexibilitet inom företaget. Att säkra IoT-enheter är dock fortfarande helt avgörande. Organisationer måste vidta nödvändiga åtgärder för att säkerställa att deras enheter och data är tillräckligt skyddade från början till slut. Detta innebär att man gör en grundlig genomgång av den nuvarande IoT-miljön, utvärderar riskerna och prioriterar de primära säkerhetsproblem som behöver åtgärdas. Starka och unika lösenord måste också vara obligatoriska för alla enheter. Firmware måste ständigt uppdateras, och endast säkra webb-, mobil- och molnapplikationer med stark kryptering och dataskyddsfunktioner får användas. Alla data måste krypteras – både i vila och under överföring – och end-to-end-kryptering är ett produktkrav för alla enheter som ansluts. Det är också viktigt att dessa data säkras och bearbetas på ett säkert sätt efter att de har överförts över nätverket. Uppdateringar av enheter måste övervakas och hanteras dygnet runt och enligt kalender. Slutligen måste säkerhetsramverket och arkitekturen vara skalbara för att stödja IoT-distributioner både nu och i framtiden. Därför är det ovärderligt att arbeta med tredje parter som har resurser och expertis för att hantera skalbara IoT-säkerhetsprogram.

Vinnter fungerar som en möjliggörare för att utveckla nya affärs- och servicestrategier för traditionella industrier, såväl som för nystartade företag. Vi hjälper företag att förbli konkurrenskraftiga genom utveckling av inbyggd programvara, kommunikation och anslutningsmöjligheter, hårdvarudesign, molntjänster och säkra IoT-plattformar. Våra skickliga och erfarna team av utvecklare, ingenjörer och affärskonsulter hjälper dig att omdefiniera din organisation för den digitala eran genom att skapa nya, mycket säkra uppkopplade produkter och digitala tjänster som uppfyller dina kunders föränderliga krav. Kontakta oss om du vill veta mer.

Facebook
Twitter
LinkedIn