Experten om säkerhetsriskerna när svenska företag IoT-satsar

– Nu ökar informationsbärarna, och om man inte har tänkt till så finns det risker. Hur vet man om IoT-enheten är verklig, att det är en av de som jag själv har satt upp? Jag måste säkerställa att det inte rör sig om en spoofad eller på annat sätt felaktig enhet. Den kan ikläda sig att vara en riktig enhet, men sedan föda systemet med felaktig data – eller utgöra en väg in i det egna nätverket, säger Stefan Spendrup till Telekom idag.

Ett akvarium öppnade vägen för intrånget

Som exempel berättar han om ett intrång på ett företag i USA. Attacken spårades till en doppvärmare i ett akvarium. Det hade ställts dit av ett akvarieleasingföretag, som hade doppvärmaren uppkopplad för övervakning av akvariets temperatur. De hade dock missat att denna IoT-enhet kopplats in på företagets nätverk.

– Dessa IoT-enheter har inte en PIN-kod eller autentisering på samma sätt som en mobiltelefon utan börjar samla in data så snart de slagits på, och därför är det viktigt att ha kontroll på vilka enheter som tillåts i systemen inom verksamheten, säger han.

Kan smitta ned nätverket

Allt från temperatursensorer, lampor och avläsare som registrerar rörelser kan användas som en inpunkt för intrång. Enheterna kan vara en enklare måltavla i och med att man inte behöver tränga sig in i en PC. En infångad IoT-enhet kan ge felaktig data, samt belasta eller smitta ned nätverket.

– Enheterna kommunicerar inte som en PC, utan via ett IoT-protokoll och sedan vidare in i ett nätverk. Du är redan maskerad som en enhet när du kommer till brandväggen, och det är ju där som vårt system kommer in. Systemet definierar vilka enheter som får ansluta sig och när och hur de får ansluta sig. Enheter tillåts ansluta enligt ett uppsatt regelverk och innan access ges godkänns enheterna efter det att de identifierats, säger Stefan.

Bestäm access och den data som ska utbytas

En viktig fråga är vilken access de anställda ska ha och vilken data som ska få utbytas mellan systemen? Om det endast är intressant att skicka information från enheten och förmedla den till företagsnätverket, varför ska då enheterna ha access att hämta information i företagsnätverket? Hur enheterna skall administreras och vilken access som ges till systemet bör också vara begränsat inom ens eget företagsnätverk, och inte kunna ske externt.

– Om det går att automatisera processerna i IoT-systemet så behöver man inte gå in i företagsnätverket för att göra justeringen. Då går du in i din IoT-konfiguration för att justera att enheten x ska göra det här. Det kan vi göra inom IoT-systemet. Man behöver inte gå innanför brandväggen, säger han.

Många är trevande inför IoT-satsningen

Det finns givetvis möjligheter att hantera IoT:n, funktionaliteten och dess inhämtade data i dina appar, men då måste man tänka till kring tillgängligheten och säkerheten. Hur långt har då de svenska företagen kommit i användandet av sakernas internet?

– Nu börjar allt fler testa skarp, men många ligger fortfarande i testfasen. Man går lite och väntar, och frågar sig hur man ska nyttja tekniken. Företagen förstår att de måste ge sig in, men de vågar inte riktigt ta klivet. Det är lite trevande, säger han.

Detaljhandeln ligger långt framme. Där finns det ganska direkta vinningar och ett stort intresse. Bland pionjärerna finns också transport/logistik, där det är en stor fördel att kunna ha koll på flöden för att optimera verksamheten.

Kommunikationen är avgörande

Och oavsett företag kommer kommunikation fortsatt vara ett viktigt utvecklingsområde.

– När anställda kan utföra ett jobb genom information som de får via mobilen, utan de backend-system som normalt finns vid arbetsstationen – det är då det börjar bli intressant och man kan räkna hem mobilitetsprojekten. Då blir det gynnsamt. Plötsligt blir informationen mobil, säger Stefan Spendrup.