6. juli 2023
Hackerangreb er i kraftig stigning
– nu skal forskere lukke sikkerhedshuller i IoT-teknologi
Udbredelsen af IoT har afsløret sårbarheder i fysiske enheder forbundet til internettet. Selv hjertestartere kendt fra gadebilledet kan være mål for hackerangreb. Et igangværende DIREC-projekt skal styrke sikkerheden og beskytte data.
Med Internet of Things (IoT) bliver flere og flere fysiske objekter forbundet med internettet, så de kan kommunikere med hinanden og med mennesker.
Termostater, køleskabe, trafik- og overvågningssystemer er bare nogle af de enheder, som i dag kan fjernstyres ved hjælp af IoT-teknologi.
Udstyret med sensorer indsamler enhederne data og sender informationer via internettet, så data kan bruges til at kontrollere og overvåge enhederne eksternt.
IoT-enheder har åbnet nye muligheder for funktionalitet og bekvemmelighed, men samtidig opstår nye sikkerhedsrisici. En af de største udfordringer ved de IoT- enheder er nemlig, at de er forbundet med internettet, men har for lidt regnekraft til at være udstyret med de samme sikkerhedsforanstaltninger som fx traditionelle computere og smartphones.
Derfor er de potentielle mål for cyberangreb og angreb på vores privatliv, fordi hackere kan udnytte sårbarheder i IoT-enheder til at få adgang til følsomme oplysninger eller ligefrem tage kontrol over de fysiske enheder.
Nye certificeringskrav er på vej
Sikker IoT er derfor omdrejningspunktet for et projekt ved Digital Research Centre (DIREC). Her skal forskere fra Aarhus Universitet, Aalborg Universitet, Danmarks Tekniske Universitet og Copenhagen Business School sammen med Alexandra Instituttet og en række danske virksomheder identificere sikkerhedskrav til IoT-systemer. Målet er at udvikle algoritmer til kvantitativ risikovurdering og beslutningstagen og at skabe værktøjer til at designe og certificere et IoT-sikkerhedstræningsprogram.
Projektteamet er sammensat af forskere og fageksperter fra virksomhederne og skal sikre, at forskerne tager fat på de rigtige spørgsmål, og at ekspertisen fra de forskellige faggrupper kommer i spil i nye løsninger, som kan afprøves og evalueres ude i virksomhederne.
Hjertestarteren – en aktuel case
IT-virksomheden Seluxit er en af de virksomheder, som deltager i projektet. Seluxit udvikler og leverer løsninger inden for IoT- og cloud-teknologi og tilbyder et bredt spektrum af produkter og tjenester til forskellige industrier og sektorer.
Ifølge projektleder Tsvetomir Ivanov giver Seluxits medvirken i projektet adgang til ny viden om de vigtigste trends inden for IoT og software – og især har man lært at tænke sikkerhed ind som noget af det første, når man udvikler en ny løsning for en kunde.
Der er stor forskel på, hvad IoT-enheder bruges til. Et af de mere samfundskritiske eksempler er de hjertestartere, som hænger rundt omkring i Danmark klar til at redde liv.
Desværre er hjertestarterne lette ofre for både hærværk og tyveri, og hos Seluxit har man derfor udviklet et overvågningsprogram, som skal beskytte det livsvigtige udstyr.
– Udfordringen med hjertestarterne er, at alle skal kunne få hurtig adgang til dem. Derfor sker det desværre også, at nogen knuser ruden og begår hærværk mod udstyret, ligesom der er risiko for, at hjertestartere bliver hacket eller stjålet. Alt det er vi nødt til at tage højde for i vores overvågningsløsning, forklarer Tsvetomir Ivanov.
I princippet vil en hacker kunne bryde ind i hjertestarterens tekniske system og fx sende besked om, at batteriet er fint, selvom det ikke er. I værste fald kan det føre til dødsfald, hvis udstyret ikke virker, som det skal, fortæller han.
– For at forhindre den situation, har vi indbygget en række ekstra sikkerhedsmekanismer i vores system. Så når det gælder hjertestarteren, er det ikke alene muligt at monitorere batteriet, man kan også holde øje med, om nogen har åbnet og lukket lågen til kabinettet, og om udstyret har været fjernet. På den måde kan vi overvåge, om nogen har skadet udstyret eller har pillet ved det.
Sikkerhedssystemet kan tilpasses mange forskellige formål og enheder, fortæller Tsvetomir Ivanov.
– Vores sikkerhedssystem gør allerede en forskel for mange kunder, og vi samarbejder med forskerne om hele tiden at forbedre vores sikkerhedstræningsprogrammer. Man vil aldrig kunne sikre sig 100 procent imod hackerangreb, men vi kan sætte realistiske mål for, hvordan vi optimerer sikkerheden.
Han giver et eksempel på, hvordan man i alle led i udviklingen af IoT-systemer har fokus på sikkerheden:
– En af de enkle måder at øge sikkerheden på er at ændre processerne, som vi også har gjort i vores virksomhed. Fx har vi udpeget personer, som er ansvarlige for at bringe eksternt software ind i huset. Vi er afhængige af at bruge komponenter, som er klargjort udefra, derfor har vi brug for at sikre, at de komponenter er testet, inden vi introducerer dem i vores systemer.
I takt med at IoT-teknologi bliver mere omkostningseffektiv og tilgængelig, forventes antallet af IoT-enheder at vokse markant, og anvendelsen af IoT vil brede sig til nye områder og industrier – derfor er behovet for IoT-sikkerhed større end nogensinde.
Målet med projektet er at gøre danske virksomheder i stand til at opnå sikkerhedscertificering af deres IoT-enheder. Det vil betyde et forspring på et marked, hvor nye certificeringskrav fra EU, USA og det britiske marked er på vej.
Secure Internet of Things (SIOT)
De deltager i projektet:
Forskerteamet består af forskere fra Aarhus Universitet (AU), Aalborg Universitet (AAU), Danmarks Tekniske Universitet (DTU), Copenhagen Business School (CBS) og Alexandra Instituttet.
Fra erhvervslivet deltager TERMA, Grundfos, Develco Products, Beumer Group, Micro Technic, SecuriOT og Seluxit.