6. juli 2023

Hackerangreb er i kraftig stigning

– nu skal forskere lukke sikkerhedshuller i IoT-teknologi

Udbredelsen af IoT har afsløret sårbarheder i fysiske enheder forbundet til internettet. Selv hjertestartere kendt fra gadebilledet kan være mål for hackerangreb. Et igangværende DIREC-projekt skal styrke sikkerheden og beskytte data.

Med Internet of Things (IoT) bliver flere og flere fysiske objekter forbundet med internettet, så de kan kommunikere med hinanden og med mennesker.

Termostater, køleskabe, trafik- og overvågningssystemer er bare nogle af de enheder, som i dag kan fjernstyres ved hjælp af IoT-teknologi.

Udstyret med sensorer indsamler enhederne data og sender informationer via internettet, så data kan bruges til at kontrollere og overvåge enhederne eksternt.

IoT-enheder har åbnet nye muligheder for funktionalitet og bekvemmelighed, men samtidig opstår nye sikkerhedsrisici. En af de største udfordringer ved de IoT- enheder er nemlig, at de er forbundet med internettet, men har for lidt regnekraft til at være udstyret med de samme sikkerhedsforanstaltninger som fx traditionelle computere og smartphones.

Derfor er de potentielle mål for cyberangreb og angreb på vores privatliv, fordi hackere kan udnytte sårbarheder i IoT-enheder til at få adgang til følsomme oplysninger eller ligefrem tage kontrol over de fysiske enheder.

Nye certificeringskrav er på vej

Sikker IoT er derfor omdrejningspunktet for et projekt ved Digital Research Centre (DIREC). Her skal forskere fra Aarhus Universitet, Aalborg Universitet, Danmarks Tekniske Universitet og Copenhagen Business School sammen med Alexandra Instituttet og en række danske virksomheder identificere sikkerhedskrav til IoT-systemer. Målet er at udvikle algoritmer til kvantitativ risikovurdering og beslutningstagen og at skabe værktøjer til at designe og certificere et IoT-sikkerhedstræningsprogram.

Projektteamet er sammensat af forskere og fageksperter fra virksomhederne og skal sikre, at forskerne tager fat på de rigtige spørgsmål, og at ekspertisen fra de forskellige faggrupper kommer i spil i nye løsninger, som kan afprøves og evalueres ude i virksomhederne.

Hjertestarteren – en aktuel case

IT-virksomheden Seluxit er en af de virksomheder, som deltager i projektet. Seluxit udvikler og leverer løsninger inden for IoT- og cloud-teknologi og tilbyder et bredt spektrum af produkter og tjenester til forskellige industrier og sektorer.

Ifølge projektleder Tsvetomir Ivanov giver Seluxits medvirken i projektet adgang til ny viden om de vigtigste trends inden for IoT og software – og især har man lært at tænke sikkerhed ind som noget af det første, når man udvikler en ny løsning for en kunde.

Der er stor forskel på, hvad IoT-enheder bruges til. Et af de mere samfundskritiske eksempler er de hjertestartere, som hænger rundt omkring i Danmark klar til at redde liv.

Desværre er hjertestarterne lette ofre for både hærværk og tyveri, og hos Seluxit har man derfor udviklet et overvågningsprogram, som skal beskytte det livsvigtige udstyr.

– Udfordringen med hjertestarterne er, at alle skal kunne få hurtig adgang til dem. Derfor sker det desværre også, at nogen knuser ruden og begår hærværk mod udstyret, ligesom der er risiko for, at hjertestartere bliver hacket eller stjålet. Alt det er vi nødt til at tage højde for i vores overvågningsløsning, forklarer Tsvetomir Ivanov.

I princippet vil en hacker kunne bryde ind i hjertestarterens tekniske system og fx sende besked om, at batteriet er fint, selvom det ikke er. I værste fald kan det føre til dødsfald, hvis udstyret ikke virker, som det skal, fortæller han.

– For at forhindre den situation, har vi indbygget en række ekstra sikkerhedsmekanismer i vores system. Så når det gælder hjertestarteren, er det ikke alene muligt at monitorere batteriet, man kan også holde øje med, om nogen har åbnet og lukket lågen til kabinettet, og om udstyret har været fjernet. På den måde kan vi overvåge, om nogen har skadet udstyret eller har pillet ved det.

Sikkerhedssystemet kan tilpasses mange forskellige formål og enheder, fortæller Tsvetomir Ivanov.

– Vores sikkerhedssystem gør allerede en forskel for mange kunder, og vi samarbejder med forskerne om hele tiden at forbedre vores sikkerhedstræningsprogrammer. Man vil aldrig kunne sikre sig 100 procent imod hackerangreb, men vi kan sætte realistiske mål for, hvordan vi optimerer sikkerheden.

Han giver et eksempel på, hvordan man i alle led i udviklingen af IoT-systemer har fokus på sikkerheden:

– En af de enkle måder at øge sikkerheden på er at ændre processerne, som vi også har gjort i vores virksomhed. Fx har vi udpeget personer, som er ansvarlige for at bringe eksternt software ind i huset. Vi er afhængige af at bruge komponenter, som er klargjort udefra, derfor har vi brug for at sikre, at de komponenter er testet, inden vi introducerer dem i vores systemer.

I takt med at IoT-teknologi bliver mere omkostningseffektiv og tilgængelig, forventes antallet af IoT-enheder at vokse markant, og anvendelsen af IoT vil brede sig til nye områder og industrier – derfor er behovet for IoT-sikkerhed større end nogensinde.

Målet med projektet er at gøre danske virksomheder i stand til at opnå sikkerhedscertificering af deres IoT-enheder. Det vil betyde et forspring på et marked, hvor nye certificeringskrav fra EU, USA og det britiske marked er på vej.

Secure Internet of Things (SIOT)

De deltager i projektet:

Forskerteamet består af forskere fra Aarhus Universitet (AU), Aalborg Universitet (AAU), Danmarks Tekniske Universitet (DTU), Copenhagen Business School (CBS) og Alexandra Instituttet.

Fra erhvervslivet deltager TERMA, Grundfos, Develco Products, Beumer Group, Micro Technic, SecuriOT og Seluxit.

8. december 2021

Nyt projekt skal gøre det nemmere at designe og certificere IoT-systemer

IoT-enheder indgår i infrastrukturen i både samfundet og i vores privatliv. Mange af disse enheder kører i ukontrollerede, potentielt fjendtlige miljøer, hvilket gør dem sårbare over for sikkerhedsangreb. Med det stigende antal sikkerhedskritiske IoT-enheder, såsom medicinske og industrielle IoT-enheder, er IoT-sikkerhed herudover et offentligt sikkerhedsproblem. Således er behovet for sikkerhed i disse systemer endda blevet anerkendt på regerings- og lovgivningsniveau, f.eks. i EU, USA og Storbritannien, hvilket resulterer i et lovgivningsforslag om i det mindste at indføre et minimum af sikkerhed i implementerede IoT-produkter.

Foto: Søren Kjeldgaard

Professor Jaco van de Pol skal lede DIREC-projektet Secure IoT systems (SIoT), som har til formål at modellere sikkerhedstrusler og implementere modforanstaltninger til IoT-systemer og -tjenester, samt at udvikle sikre løsninger og analysere de tilbageværende sikkerhedsrisici.

“Vores mål med SiOT-projektet er at gøre det nemmere at udvikle og certificere sikre IoT-enheder. Sikkerhed og privatliv er meget vigtigt for mange mennesker og organisationer, der bruger IoT-enheder til målinger i smarte byer, udendørsområder, logistikkæder og i deres private hjem. Det er udfordrende at udvikle IoT-enheder, da de er fysisk små og skal køre på lavt strømforbrug. Alligevel skal de udføre nøjagtige målinger og kommunikere med høj effektivitet. Så hvordan kan man opnå sikkerhed oveni i dette? Vi vil levere nye værktøjer til at modellere sikkerhedstrusler, implementere modforanstaltninger og analysere de aktuelle sikkerhedsrisici.”

Jaco van de Pol fortsætter: ”Jeg er glad for at kunne arbejde med et team, der består af både universitetsforskere og eksperter fra virksomheder. Det vil sikre, at projektet tager fat på de rigtige spørgsmål, og at vi kan finde nye løsninger ved at kombinere ekspertisen fra flere faggrupper. Og vi kan evaluere løsningerne ude i virksomhederne.”

Strategien er at anvende algoritmer fra automatteori og spilteori til at automatisere risikoanalyser og udarbejdelse af sikkerhedsstrategier. Implementeringen af sikkerhedspolitikkerne vil tage hensyn til både tekniske og sociale aspekter, specielt anvendelighed i organisationer og uddannelse af personer.

For TERMA A/S, som er en del af projektet, er motivationen at kende IoT-landskabet for at gøre dem mere modstandsdygtig over for cyberangreb. Samant Khajuria, Chief Specialist Cybersecurity hos TERMA A/S, forklarer:

“Når vi integrerer IoT-systemer i vores branche, er vores hovedformål at øge sikkerheden i sikkerhedskritiske systemer. Vores systemer anvendes både i forsvaret og i den private sektor som vindmølleparker, lufthavne eller havne. Vi ved, at IoT-enheder før eller siden bliver oplagte brikker i puslespillet i at levere gode systemer i fremtiden. Og før vi integrerer enheder i sådanne systemer, er det vigtigt at forstå truslerne og risiciene. For det andet vil vi gerne samarbejde med universiteter i Danmark, for forskerne arbejder med dette hver dag. Vi er blot brugere af teknologien.”

Jørgen Hartig er administrerende direktør og partner i SecurIOT, som også deltager i projektet. Han håber, at projektet vil bidrage til at skabe den nødvendige opmærksomhed på begge sider af “bordet” om miljøet i industri 4.0. De hører ofte kunder sige: “Hvorfor skulle hackerne gå efter os? Vi producerer ikke noget interessant…” eller “vi har haft produktion i 25 år, og vi har ikke haft nogen problemer” eller “der er ingen forbindelser mellem it-systemer og OT-systemer.”

”Det sidste udsagn vil blive udfordret dramatisk over de kommende 5-10 år. IoT- og OT-leverandører vil lancere nye teknologiske løsninger, der vil anvende cloud-aktiverede applikationer og 5G-forbindelser til produktionsgulvet, så der ikke vil være nogen “afstand” i fremtiden. Jeg siger ikke, at det er forkert, jeg siger bare, at forbrugerne og IoT-leverandørerne skal arbejde med cybertrusler og -risici på en struktureret måde.”

Ifølge Gert Læssøe Mikkelsen, Head of Security Lab på Alexandra Instituttet, er der behov for at forbedre cybersikkerheden i IoT, hvilket også er årsagen til, at de deltager i projektet:

”Vi ser et behov for akademisk forskning i tæt samarbejde med virksomhederne for at håndtere dette. Vi håber, at de værktøjer og metoder, der udvikles i dette projekt, vil blive implementeret og forbedre IoT-cybersikkerheden, så vi alle er klar til fremtiden, hvor vi både forventer en stigning i truslerne fra cyberkriminelle og som en konsekvens, en stigning i kravene og regulering på dette område, som virksomhederne skal være klar til at håndtere.”

Om DIREC – Digital Research Centre Denmark

Det nationale forskningscenter DIREC skal sætte Danmark i front med de nyeste digitale teknologier gennem digital forskning i verdensklasse. For at tilfredsstille det store behov for højtuddannede it-specialister hjælper DIREC derudover med at udbygge kapaciteten inden for både forskning og uddannelse af dataloger. Centeret har et samlet budget på 275 millioner og er støttet af Innovationsfonden med 100 millioner. Partnerkredsen bag er et unikt samarbejde på tværs af de datalogiske institutter på landets otte universiteter og Alexandra Instituttet.

Centerets aktiviteter sker på baggrund af samfundsmæssige behov, hvor forskning løbende omsættes til værdiskabende løsninger i samarbejde med erhvervslivet og den offentlige sektor. Projekterne går på tværs af brancher og omhandler bl.a. kunstig intelligens, Internet of Things, algoritmer og cybersikkerhed.

Læs mere på direc.dk

SIoT

In SIoT, the following parties will participate as collaborators:

Aarhus University
Aalborg University
DTU
Copenhagen Business School
Alexandra Institute
Terma
Grundfos
Develco Products
Beumer Group
Micro Technic
SecuriOT
Seluxit

Contact
Jaco van de Pol
Department of Computer Science
Aarhus University
jaco@cs.au.dk