CYBERSIKKERHET – DEN NYE UTFORDRINGEN

Da Sean Connery portretterte den første James Bond-karakteren i den klassiske filmen fra 1962, «Dr. No», hadde han på seg en Rolex Submariner reference 6538. Denne ikoniske klokken kunne motstå trykk helt ned til 200 meter under vannoverflaten. Med andre ord et fornuftig valg for en actionhelt som til daglig skulle håndtere ville biljakter, leiemordere og en og annen flammekaster.

Den moderne James Bond behøver mer avanserte klokker, som kan håndtere alt dette – men også det som ennå ikke var et problem under den kalde krigen: cyberangrep.

Smarte produkter gjør oss sårbare

Produkter som tidligere var uten noen form for tilkoblinger, som for eksempel klokker, er i dag i økende grad koblet opp mot internett. Faktisk er det i dag hele kategorier med nye produkter som er blitt etablert, nettopp på grunn av evnen til å koble seg opp mot nettet. Et eksempel på dette er sikkerhetssystemer installert i hjemmet. Samlet utgjør disse produktene det som i dag kalles tingenes internett (IoT – Internet of Things). Dette begrepet ble først introdusert allerede i 1999, men det tok mange år før det virkelig fikk fotfeste. I dag er vi omringet av flere titalls milliarder av tilkoblede enheter, med all verdens klokker og dingser, og det er ingen grunn til å tro at denne økningen vil stoppe med det første.

Utfordring for produktutviklere

Legger du nettfunksjoner til et produkt, medfølger dette en risiko. Og all risiko krever håndtering. Dette er på samme måte som med risikotiltak vi innfører når vi bygger nye veier. Hvite og stiplede linjer. Autovern, fartsgrenser. Stoppskilt.

I tillegg har bilene selv mange forskjellige sikkerhetsfunksjoner. Noen av disse funksjonene ble nok laget fordi det var et intuitivt fornuftig tiltak. Andre tiltak ble iverksatt som en respons til ulykker som oppsto, som 3-punkts setebelter og kollisjonsputer.

På samme måte har tingenes internett grunnleggende sikkerhetstiltak. Men, la oss være ærlige – ulvene på internett har stort sett møtt hindringer bygget av strå og pinner. Dette har gjort at ulvenes innsats er blitt rikelig belønnet. Og hvordan har vi da egentlig SSrespondert?

Enkelte ad-hoc mottiltak er selvfølgelig iverksatt, gjerne på bedriftsnivå, men IoT-industrien som helhet, inkludert myndighetene, har ikke definert klare rammer for hvordan en skal sikre produkter mot nettangrep. Ikke før nå.

ETSI EN 303 645: en basis

«Å sikre et bedre sikkerhetsnivå i IoT-økosystemet kan bare oppnås hvis myndigheter, industri og forbrukere samarbeider om et felles og oppnåelig mål, og standardiseringsorganer som ETSI har gitt den rette plattformen for å oppnå det med denne standarden».

Mahmoud Ghaddar (CISO Standardization) til Infosecurity magazine (2020)

Den europeiske standarden «Cyber Security for Consumer Internet of Things: Baseline Requirements» (ETSI/EN 303 645) ble publisert i juni 2020. Denne standarden definerer 13 hovedpunkter som etablerer et basisgrunnlag for nettsikkerhet «ment å beskytte mot angrep på grunnleggende svakheter i utformingen (for eksempel bruk av lett gjettbare passord)».

Bedrifter og organisasjoner kan og bør vurdere sertifisering av produkter i henhold til standarden, også før den blir innført som et krav. Det finnes allerede flere nasjonale ordninger, for eksempel i Storbritannia og Finland, som i dag refererer til denne standarden.

En av de fremste fordelene for utviklere og kunder er også å enes om én felles norm for hva som er akseptabelt nivå for cybersikkerhet og derved unngå mange ulike leverandør- og kundespesifikke krav.

«Den finske cybersikkerhet-merkingen er designet for å takle utfordringene forbrukerne møter når smarte enheter blir stadig vanligere i hjemmene. (…) Hittil har vi tildelt vår merking til flere produkter, inkludert treningsklokker, enheter for smarte hus og tilhørende hubs».

Juhani Eronen (Traficom) til ETSI.org

Nettsikkerhet en hygienefaktor

Som produktutvikler er du vant til å teste produktene dine for fysisk sikkerhet. Har du lest vår guide for hvordan du får ditt produkt på markedet, vet du hva vi snakker om.

Nå vil testing og sertifisering i henhold til produktsikkerhet også inkludere nettsikkerhet. I etterkant av utallige nettsikkerhetshendelser, spesielt relatert til IoT-produkter, gjør utviklerne klokt i å gjøre produktene så sikre som overhodet mulig. Som vi var inne på tidligere kan den direkte og indirekte kostnaden av et angrep mot en bedrift være enorm. Og mister du først kundenes tillit, mister du fort også virksomheten.

«Vår sikkerhetsmerking tildeles smarte enheter som oppfyller sertifiseringskriterier basert på EN 303 645; dette hjelper forbrukerne med å identifisere IoT-enheter som er tilstrekkelig sikre».

Juhani Eronen (Traficom) til ETSI.org

I bunn og grunn er poenget: Hvis du utvikler IoT-produkter, burde disse testes og sertifiseres i henhold til nettsikkerhet med samme grundighet som de testes for elektrisk og fysisk sikkerhet.

Du har kanskje ikke 007 blant dine kunder, men hvis ikke dataene deres blir beskyttet står du i fare for et reelt «skyfall».