Danske producenter er håbløse til at it-sikre internetopkoblede produkter. Til stor fare for forbrugere og virksomheder
Flere og flere produkter fra termostater til armbåndsure og biler bliver i dag født med en internetopkobling i maven. Det gælder ikke bare for forbrugselektronik, men også i industrien og erhvervslivet. Her er printere, klimaanlæg og produktionsrobotter alle koblet op og koblet sammen igennem trådløst-internet.
Teknologitrenden kaldes ofte Internet of Things (IoT) eller Industri 4.0, og de fleste eksperter inden for området er enige om, at det er noget, vi kommer til at se meget mere af de kommende år.
Men tendensen til internetopkoblede og samtalende dimser er ikke bare smart, den er også hamrende risikabel.
Det mener nonprofitorgansationen Online Trust Aliance, en sammenslutning af 100 af de største it-selskaber. Deriblandt sikkerhedsfirmaet Symantec og Microsoft.
“Den hastige udbredelse af Internet of Things har sat fart på lanceringen af internetopkoblede produkter, men der er stadig vigtige mangler i forhold til sikkerhed og privacy, i takt med at de her enheder bliver mere almindelige,” forklarer formanden for OTA, Craig Spiezle, i en pressemeddelelse. Det skriver Version2.
Danskerne er også for dårlige
I marts udgav Symantec en rapport, der viste, at it-sikkerheden er forsvindende ringe i mange af de produkter, vi bruger i hjemmet. Symantec testede i forbindelse med rapporten 50 internetopkoblede produkter til hjemmet, og konklusionen var klar. Det fortæller Peter Schjøtt, der er sikkerhedsspecialist i Symantec.
“Der var foruroligende mange fejl, når vi kiggede på, om persondata var krypterede, eller om det var muligt at hacke sig ind i produktet og den slags. Det giver et meget godt billede af, hvor hurtigt produkterne bliver udviklede og hvor lidt, der bliver tænkt på sikkerhed,” siger han.
“Danmark står overfor en kæmpe it-sikkerhedsmæssig udfordring på det her område. Ligesom resten af verden,” understreger Peter Schjøtt.
Læs også: 5G baner vejen for selvkørende biler og industrirobotter
De private forbrugere er ikke de eneste, der er i risikozonen for cyberkriminalitet. Det forklarer Shehzad Ahmad, der er bestyrelsesmedlem i Rådet for Digital Sikkerhed.
“Jeg tror slet ikke, at danske virksomheder kan følge med den her udvikling,” siger han og forklarer, hvordan medarbejdernes smarture for eksempel kan udgøre en trussel for virksomhederne, som de ed stor sandsynlighed ikke er forberedt på.
Kan handle om liv og død
I den nære fremtid vil flere maskiner være på nettet end mennesker. Og det gør potentielt hacking til en endnu mere korporlig trussel end tidligere.
I april blev den amerikanske it-sikkerhedsanalytiker Chris Roberts anholdt, da han steg af flyet fra Chicago til staten New York. Undervejs på flyveturen havde han tweetet til sine følgere og spurgt dem, om han skulle hacke sig ind i flyet.
Ifølge politiken.dk og New York Times havde Chris Roberts inden sin flyvetur mødtes med FBI to gange, for at fortælle dem, hvordan det var lykkedes ham at hacke sig ind i diverse flys systemer 15 til 20 gange i perioden mellem 2011 og 2014.
Det var blandt andet lykkedes ham at styre et fly sidelæns og øge dets højde ifølge Politiken. Og med flere fly med internetopkobling bliver systemerne kun mere sårbare, forklarer eksperter.
I løbet af det seneste år har der været adskillige beretninger om (heldigvis velmenende) hackere, der har brudt ind i flere forskellige bilmærker, fortæller Shehzad Ahmad. Blandt andet Tesla, Volkswagen og en vildfaren jeep på den amerikanske motorvej er blevet udsat for godartede hackerangreb.
Læs også: Supercomputeren Watson kan flytte ind i din iPhone
Ja, en hacker har sågar brudt ind i en digital sniper-riffel.
Det er ikke svært at forestille sig, hvordan hackede biler kan blive mere end småfarligt, siger Peter Schjøtt. Og i et fremtidsperspektiv med mere internet i trafikken bliver det ikke mindre alvorligt.
“Lad os nu sige, at vi får smarte veje, der er koblede op på internettet. Så kan en hacker potentielt tage kontrol over dele af infrastrukturen, og så er der nogle muntre muligheder for at skabe ravage,” siger Peter Schjøtt lettere ironisk.
Danskerne aner ikke, hvad de laver
Ifølge både Peter Schjøtt og Shehzad Ahmad er der alt for lidt fokus på problemet. Fra alle kanter.
“De folk, der arbejder med Internet of Things er 20 år bagud i it-sikkerhedsopfattelse. Den forståelse af cyber-kriminalitet er først ved at starte op nu”, siger Peter Schjøtt.
“Det er en kulturændring, der handler om, at medarbejdere, privatpersoner og producenter alle opnår den nødvendige viden og respekt for det her. Så vi tænker os om, når vi er på jobbet, og ikke bare åbner for alle kanaler ud til nettet, når vi sætter smart-tv’et op derhjemme.” Det siger Shehzad Ahmad.
Behov for lovgivning
I EU er der standarder for it-sikkerhed, og offentlige institutioner i Danmark arbejder allerede under krav til databeskyttelse. Men vil en danske producent på nettet med en dims, er der meget få egentlig juridiske krav. Og det bør der laves om på, mener Peter Schjøtt.
“Man bør stille krav til producenterne fra EU. EU er allerede på vej med en forordning, om at virksomheder skal beskytte personlige data ordentligt, og på samme måde burde det være er krav til producenter af internetopkoblede produkter,” siger Schjøtt og foreslår, at EU også, eventuelt i samarbejde med USA, opretter uafhængige organer, der kan teste produkters it-sikkerhed.
“Kunder skal jo som minimum kunne vælge, om de er trygge ved at købe produkterne. Vi har jo EU-testcentre, der tester sikkerheden af biler og barnesæder og al den slags. Så burde man også tjekke it-sikkerheden og have faste standarder for den,” siger Peter Schjøtt og tilføjer,
“Der er jo også en vis brand-værdi i at være det sikre alternativ, så det er noget, som virksomhederne kan slå sig op på.”