Kontaktperson
Tomas Bodeklint
Affärsutvecklare
Kontakta Tomas
IoT-prylen kan bli säkerhetshot – så hanterar du risken
I dag finns det fler uppkopplade enheter än människor på jorden. Internet of Things, IoT, är en viktig del av samhällets digitalisering. Samtidigt öppnar tekniken nya dörrar för cyberkriminella. För tillverkare av smarta produkter gäller det att hitta och bomma igen lönndörrarna – innan slutanvändaren råkar illa ut.
Tvättmaskinen som signalerar när elen är som billigast, industriroboten som säger till när det är dags för underhåll och trygghetslarmet som visar en orolig anhörig var den åldrige föräldern håller hus. IoT finns överallt och gör vår vardag bättre, enklare, billigare...
Men rent krasst skapar också tekniken små och stora säkerhetshål i våra hem, städer, industrier, jordbruk och transporter.
Tomas Bodeklint som är forsknings- och affärsutvecklare på RISE och ansvarig för institutets test- och demonstrationsmiljö Cyber Test Lab, berättar hur en vanlig skrivare på kontoret kan användas som ett verktyg för en storskalig hackerattack:
– Cyberkriminella skannar internet efter oskyddad utrustning. När de hittar den uppkopplade, oskyddade skrivaren implementerar de en programvara och kan på så sätt utnyttja skrivaren för andra saker än den är avsedd för. Den kan alltså bli en del av ett så kallat botnät, en armé av enheter som tillsammans genomför överbelastningsattacker. De infekterade IoT-enheterna används i det fallet för att sänka specifika servrar.
Kostnadsfokus ger begränsat säkerhetstänk
Totalförsvarets forskningsinstitut, FOI, har på uppdrag av Myndigheten för samhällsskydd och beredskap, MSB, kartlagt riskerna med IoT. En slutsats som presenterades var att mycket av IoT-utrustningen designats utan hänsyn till säkerhet*. Tomas Bodeklint menar att det har en enkel förklaring.
– En stor del av problemet är att många IoT-prylar inte får kosta för mycket för slutanvändaren. Tillverkarna satsar mer på funktionen och att se till att en produkt motsvarar det man har marknadsfört, i stället för att garantera säkerheten. Det här är ett problem som har blivit större i och med att cyberkriminella och statsunderstödda aktörer använder digitaliseringen för att påverka samhället på olika sätt, säger Tomas Bodeklint.
Hotet har adresserats på EU-nivå. I unionens verktygslåda för motåtgärder finns radioutrustningsdirektivet och kommande Cyber Resilience Act (CRA), regelverk kring cyber- och informationssäkerhet som tillsammans omfattar alla typer av produkter med någon form av mjukvara i. Målet är att förhindra att prylar med säkerhetshål hamnar ute hos konsumenterna.
– Redan i designstadiet behöver man som tillverkare titta på cybersäkerheten. Det är oftast svårt att applicera säkerhetsfunktioner i efterhand. En god start är att gå igenom hotbilden för sin produkt och analysera risker och möjliga attackvägar. Sedan kan man ta till olika lösningar för att förhindra dessa, exempelvis i form av kryptering och flerstegsautentisering, säger Tomas Bodeklint.
Det räcker inte att täppa till ett hål. Hackers hittar alltid nya vägar in.
Störningar kan riskera trafiksäkerheten
RISE hjälper företag med den här typen av hot- och riskanalyser och genomför penetrationstester för att hitta svagheter i IoT-produkter. Bland annat har fordon och laddstolpar undersökts i syfte att identifiera potentiella säkerhetshål. Man har även mätt den elektromagnetiska kompabiliteten, EMC. Det sistnämnda handlar om att undersöka om den elektroniska produkten stör eller blir störd av andra enheter och apparater i närområdet.
– Vi såg det förr i tiden och vi ser det nu, att elektroniken i ett fordon påverkas av radiostörningar. Om du inte hanterat EMC-problematiken kan ett möjligt scenario vara att dina barn tittar på barnprogram på sina surfplattor i baksätet och helt plötsligt tvärnitar bilen. Eller så sitter du i en bilkö och tar ett telefonsamtal när bilen accelererar rakt in i framförvarande bil. Ju mer automatiserad tekniken i bilen är, desto mer komplexa blir riskerna, säger Tomas Bodeklint.
Bilen är ett exempel av många uppkopplade produkter som har en positioneringsfunktion. Detta skapar också en ökad sårbarhet. MSB har pekat ut ”antagonistiska elektromagnetiska hot” mot satellitnavigeringssystemet som en framväxande risk. Vintern 2023/2024 rapporterades det om flertalet störningar i Sverige, där Ryssland pekades ut som ansvarig.
– Vi hjälper industrin som har positionering i sina produkter med simulerade spoofing- och jammingtest – att störa ut och lura GNSS-signalerna (se faktaruta). Den här typen av tester blir förstås allt viktigare i takt med att vi närmar oss helt automatiserad körning, säger Tomas Bodeklint.
”Räcker inte att täppa till ett hål”
Sedan lång tid tillbaka finns det krav på att elektroniska produkter ska vara elsäkra, för att förebygga att människor skadas. Utöver en övergripande lagtext har det fyllts på med regler och standarder som beskriver hur detta ska säkerställas.
– Framåt behöver vi lagkrav, metoder och strukturer för att även säkerställa cybersäkerheten inom alla områden. Samtidigt behöver vi lyfta kunskapsnivån. Det är inte bara ingenjören som bygger en produkt som behöver tänka säkerhet i designfasen, utan hela organisationen måste tänka cybersäkerhet hela tiden. Och det räcker inte att täppa till ett hål. Hackers hittar alltid nya vägar in, säger Tomas Bodeklint.
*Källor: Totalförsvarets forskningsinstitut, FOI. https://www.foi.se/nyheter-och-press/nyheter/2018-10-08-sakernas-internet-som-sakerhetsrisk.html
Myndigheten för samhällsskydd och beredskap, MSB. https://rib.msb.se/filer/pdf/29057.pdf https://rib.msb.se/filer/pdf/30061.pdf
Sakernas internet – Här är begreppen att ha koll på
Internet of Things (IoT) är ett koncept där fysiska enheter är anslutna till internet och kan kommunicera med varandra samt skicka och ta emot data. Genom att integrera sensorer och smart teknik i vardagliga föremål kan IoT möjliggöra automatisering, övervakning och effektivisering av olika processer och system.
Botnät är som en armé av datorer, telefoner eller andra enheter som hackats eller infekterats med skadlig programvara utan att deras ägare vet om det. Enheterna kan kontrolleras av en angripare för att sprida virus, skicka skräppost eller genomföra attacker mot webbplatser eller andra datorer.
GNSS, Global Navigation Satellite System, är ett samlingsnamn för satellitbaserade navigations- och positionsbestämningssystem. GPS-systemet är det mest kända av dessa system.
Spoofing är en typ av attack där en angripare skapar falska signaler för att lura mottagare att tro att de kommer från en legitim källa. Detta kan användas för att störa navigationsenheter eller för att vilseleda människor eller system.
Jamming är en attack där en angripare skickar ut störningssignaler för att överbelasta eller störa kommunikationen mellan sändare och mottagare. Till exempel kan en jammingattack riktas mot en GNSS-mottagare för att blockera eller förvränga signalerna från satelliterna.
