Fremhevet bilde

IoT – skaper det flere problemer enn det løser?

Når alt fra akvarier og kopimaskiner til mobiltelefoner og datamaskiner kobles på nettet, øker også bedriftens eksponering og risiko for å bli angrepet av hackere på jakt etter penger og informasjon.  

– Vi ser at stadig mindre bedrifter rammes av alvorlig datakriminalitet. Frisørsalonger infiseres med kryptovirus, håndverkerbedrifter opplever at filer og data blir låst og ikke frigjort før de betaler løsepenger og virksomheter får store, økonomiske problemer som følge av angrep, forteller Jakob Nøtseth, senior konsulent i Serit Fjordane IT.  

I tillegg til at datakriminelle oftere velger seg ut stadig mindre bedrifter, ser vi også at Internet of Things, IoT, skaper økt eksponering og en større risiko for at noen klarer å komme seg forbi sikkerhetssystemene.  

– Alt av elektroniske dingser og maskiner er en del av IoT, altså elektronikk som kan snakke med hverandre via nettverk. Problemet er at de som produserer denne elektronikken ikke alltid er eksperter på hverken IT eller sikkerhet, forklarer Nøtseth. 

Hold IoT enhetene dine sikret 

Et velkjent eksempel fra de siste årene er mobil-appen Nissan Leaf tok i bruk for å la brukerne enkelt styre klima i bilen. På grunn av mangelfull programmering og ukryptert kommunikasjon klarte datakyndige privatpersoner å finne ut at de enkelt kunne hacke seg inn i bilene ved hjelp av kjøretøyets unike VIN-nummer – som faktisk var godt synlig i underkant av bilenes frontrute. 

– Målet med IoT er ofte at ting skal være så enkelt som mulig, bokstavelig talt. Men sånn kan ikke en bedrift tenke rundt sikkerheten sin, sier Nøtseth og legger til: – IoT er per definisjon usikkert, og det er viktig å isolere hver applikasjon slik at de ikke kommuniserer direkte med dine sikre enheter over nettverket. 

En måte å gjøre dette på er å dele nettverket til bedriften inn i spesifikke soner – en for IoT, en for gjester, en for PCer i nettverket og en for datasenteret og servere. Da vil den usikre kommunikasjonen fra IoT-sonen ikke kompromittere den sikrede kommunikasjonen. 

I tillegg til å isolere er viktig å huske å oppdatere. Det kommer stadig sikkerhetsoppdateringer på IoT-enheter som for eksempel på printeren, nettverks-kameraer eller den elektroniske dørlåsen, og det er viktig å ikke utsette disse. 

«Ha en klar sikkerhets-policy, en handlingsplan for angrep, ikke koble sammen alt av elektrisk utstyr og bruk kun godkjente former for kommunikasjon mellom sonene.» 

– Jakob Nøtseth, senior konsulent i Serit Fjordane IT. 
Parallelt med at tingene i Internet of Things med svak sikkerhet blir utnyttet, har også angriperne blitt stadig mer kompetente.

 God sikkerhet starter med kunnskap 

– Risikoen øker ytterligere hvis virksomheten har et ikke-fungerende varslingssystem og svake sikkerhetsrutiner i kombinasjon med risikoen som IoT-enheter utsetter dem før. Da oppstår faren for at kriminelle kan ha tilgang i lang tid før de blir oppdaget – for eksempel ved at enheter oppfører seg merkelig eller en ansatt plutselig ikke får tilgang på filene sine, forteller Nøtseth. 

Tidlig og automatisert varsling er viktig for å oppdage når en enhet er infisert. Overvåkning av trafikken på nettverket ditt vil ofte være karakteristisk, og tidlig kunne gi beskjed om avvik som oppdages. Det trengs også opplæring i tolkning av varslene som mottas og hvordan man agerer ved ulike trusler eller avvik. Når printeren skrur av og på lyset i gangen eller åpner dørene på vidt gap er det for sent, da er det hackeren som vil at du oppdager hen. 

Bedrifter har ofte tilgang på flere sikkerhetstiltak i tjenester og utstyr de allerede bruker, men det må konfigureres og settes opp. Varslinger må aktiveres og mottaker av varslene må vite hvordan de reagerer, helst før printeren blir et sikkerhetsmareritt. 

Vil du lære mer om enkle grep du kan gjøre for å stoppe dataangrep? Klikk her! 

– De kriminelle utfordrer stadig, og det er derfor viktig å ta sikkerhet på alvor før noe faktisk skjer.

– Å øke IT-sikkerheten er lettere enn det mange tror. Ofte handler det bare om å skru på tjenester du allerede har tilgang på, sier Nøtseth.  

Han trekker frem en klar sikkerhetspolicy, opplæring, konfigurasjon av bedriftens systemer og en god handlingsplan som viktige faktorer som reduserer skaden hvis virksomheten blir angrepet.  

– Og selvfølgelig; ikke koble sammen alt elektrisk utstyr bare fordi det er mulig og bruk bare godkjente former for kommunikasjon.