Nyt projekt skal gøre det nemmere at designe og certificere IoT-systemer

IoT-enheder indgår i infrastrukturen i både samfundet og i vores privatliv. Mange af disse enheder kører i ukontrollerede, potentielt fjendtlige miljøer, hvilket gør dem sårbare over for sikkerhedsangreb. Med det stigende antal sikkerhedskritiske IoT-enheder, såsom medicinske og industrielle IoT-enheder, er IoT-sikkerhed herudover et offentligt sikkerhedsproblem. Således er behovet for sikkerhed i disse systemer endda blevet anerkendt på regerings- og lovgivningsniveau, f.eks. i EU, USA og Storbritannien, hvilket resulterer i et lovgivningsforslag om i det mindste at indføre et minimum af sikkerhed i implementerede IoT-produkter.

Foto: Søren Kjeldgaard

Professor Jaco van de Pol skal lede DIREC-projektet Secure IoT systems (SIoT), som har til formål at modellere sikkerhedstrusler og implementere modforanstaltninger til IoT-systemer og -tjenester, samt at udvikle sikre løsninger og analysere de tilbageværende sikkerhedsrisici.

“Vores mål med SiOT-projektet er at gøre det nemmere at udvikle og certificere sikre IoT-enheder. Sikkerhed og privatliv er meget vigtigt for mange mennesker og organisationer, der bruger IoT-enheder til målinger i smarte byer, udendørsområder, logistikkæder og i deres private hjem. Det er udfordrende at udvikle IoT-enheder, da de er fysisk små og skal køre på lavt strømforbrug. Alligevel skal de udføre nøjagtige målinger og kommunikere med høj effektivitet. Så hvordan kan man opnå sikkerhed oveni i dette? Vi vil levere nye værktøjer til at modellere sikkerhedstrusler, implementere modforanstaltninger og analysere de aktuelle sikkerhedsrisici.”

Jaco van de Pol fortsætter: ”Jeg er glad for at kunne arbejde med et team, der består af både universitetsforskere og eksperter fra virksomheder. Det vil sikre, at projektet tager fat på de rigtige spørgsmål, og at vi kan finde nye løsninger ved at kombinere ekspertisen fra flere faggrupper. Og vi kan evaluere løsningerne ude i virksomhederne.”

Strategien er at anvende algoritmer fra automatteori og spilteori til at automatisere risikoanalyser og udarbejdelse af sikkerhedsstrategier. Implementeringen af sikkerhedspolitikkerne vil tage hensyn til både tekniske og sociale aspekter, specielt anvendelighed i organisationer og uddannelse af personer.

For TERMA A/S, som er en del af projektet, er motivationen at kende IoT-landskabet for at gøre dem mere modstandsdygtig over for cyberangreb. Samant Khajuria, Chief Specialist Cybersecurity hos TERMA A/S, forklarer:

“Når vi integrerer IoT-systemer i vores branche, er vores hovedformål at øge sikkerheden i sikkerhedskritiske systemer. Vores systemer anvendes både i forsvaret og i den private sektor som vindmølleparker, lufthavne eller havne. Vi ved, at IoT-enheder før eller siden bliver oplagte brikker i puslespillet i at levere gode systemer i fremtiden. Og før vi integrerer enheder i sådanne systemer, er det vigtigt at forstå truslerne og risiciene. For det andet vil vi gerne samarbejde med universiteter i Danmark, for forskerne arbejder med dette hver dag. Vi er blot brugere af teknologien.”

Jørgen Hartig er administrerende direktør og partner i SecurIOT, som også deltager i projektet. Han håber, at projektet vil bidrage til at skabe den nødvendige opmærksomhed på begge sider af “bordet” om miljøet i industri 4.0. De hører ofte kunder sige: “Hvorfor skulle hackerne gå efter os? Vi producerer ikke noget interessant…” eller “vi har haft produktion i 25 år, og vi har ikke haft nogen problemer” eller “der er ingen forbindelser mellem it-systemer og OT-systemer.”

”Det sidste udsagn vil blive udfordret dramatisk over de kommende 5-10 år. IoT- og OT-leverandører vil lancere nye teknologiske løsninger, der vil anvende cloud-aktiverede applikationer og 5G-forbindelser til produktionsgulvet, så der ikke vil være nogen “afstand” i fremtiden. Jeg siger ikke, at det er forkert, jeg siger bare, at forbrugerne og IoT-leverandørerne skal arbejde med cybertrusler og -risici på en struktureret måde.”

Ifølge Gert Læssøe Mikkelsen, Head of Security Lab på Alexandra Instituttet, er der behov for at forbedre cybersikkerheden i IoT, hvilket også er årsagen til, at de deltager i projektet:

”Vi ser et behov for akademisk forskning i tæt samarbejde med virksomhederne for at håndtere dette. Vi håber, at de værktøjer og metoder, der udvikles i dette projekt, vil blive implementeret og forbedre IoT-cybersikkerheden, så vi alle er klar til fremtiden, hvor vi både forventer en stigning i truslerne fra cyberkriminelle og som en konsekvens, en stigning i kravene og regulering på dette område, som virksomhederne skal være klar til at håndtere.”

Om DIREC – Digital Research Centre Denmark

Det nationale forskningscenter DIREC skal sætte Danmark i front med de nyeste digitale teknologier gennem digital forskning i verdensklasse. For at tilfredsstille det store behov for højtuddannede it-specialister hjælper DIREC derudover med at udbygge kapaciteten inden for både forskning og uddannelse af dataloger. Centeret har et samlet budget på 275 millioner og er støttet af Innovationsfonden med 100 millioner. Partnerkredsen bag er et unikt samarbejde på tværs af de datalogiske institutter på landets otte universiteter og Alexandra Instituttet.

Centerets aktiviteter sker på baggrund af samfundsmæssige behov, hvor forskning løbende omsættes til værdiskabende løsninger i samarbejde med erhvervslivet og den offentlige sektor. Projekterne går på tværs af brancher og omhandler bl.a. kunstig intelligens, Internet of Things, algoritmer og cybersikkerhed.

Læs mere på direc.dk

SIoT

In SIoT, the following parties will participate as collaborators:

  • Aarhus University
  • Aalborg University
  • DTU
  • Copenhagen Business School
  • Alexandra Institute
  • Terma
  • Grundfos
  • Develco Products
  • Beumer Group
  • Micro Technic
  • SecuriOT
  • Seluxit

Contact
Jaco van de Pol
Department of Computer Science
Aarhus University
jaco@cs.au.dk