På uppdrag av MSB har FOI tagit fram en rapport om vad myndigheter kan göra för att motverka risken för angrepp mot uppkopplade enheter.
Internet of Things, IoT, kan vara vardagsföremål som spisar, teveapparater, kläder och fordon med inbyggd elektronik och internetuppkoppling. När de innehåller mätutrustning och ställdon för att registrera information eller utföra tjänster finns de ofta även i moderna hus, smarta elnät, intelligenta transport- och vattensystem samt andra industriella tillämpningar. Risker i sådana infrastrukturer är utmaningar för hela samhället.
Teckna din prenumeration på Aktuell Säkerhet här
– Det finns olika typer av risker med IoT. Angrepp mot enskild utrustning kan förstås orsaka stor skada. Forskare har till exempelvis visat hur man kan ta kontrollen över en modern bil via trådlöst nät. Likaså finns sårbara punkter i sjukhusutrustning, som pacemakers och pumpar för att dosera medicin. Det säger Vidar Hedtjärn Swaling, förste analytiker vid FOI, som skrivit rapporten ”NCS3 Studie – IoT-relaterade risker och strategier” tillsammans med Jessica Johansson. Han fortsätter:
– Lyfter man upp det till samhällsnivå kan intrång via IoT-enheter leda till att angripare får kontroll över viktiga processer inom exempelvis värme, vatten, el, transport eller finansiella tjänster. Det skulle till exempel kunna handla om ett uppkopplat ställdon till en pump i ett vattenverk.
Oskyddad IoT kan användas till allt från stöld av information, spionage, sabotage och utpressning till att undergräva tilltron till system och samhällsfunktioner. Det handlar alltså om IoT-utrustning som mål eller medel för angrepp, eller för att förstärka angrepp, som exempelvis överbelastning av datorsystem.
– Ett av problemen är den stora mängden produkter med bristande skydd. En systemägare kanske inte ens känner till att de har utrustning som är nåbar via internet. Många av dessa produkter har standardlösenord som är lätta att komma över. Ofta är de inte designade med hänsyn till säkerhet alls och det fysiska skyddet är i allmänhet svagt.
Förutom förebyggande insatser föreslår rapporten – som är beställd av Myndigheten för samhällsskydd och beredskap, MSB – även vaksamhet när det gäller olika former av informationsläckage. Det beror på att informationen i sig kan vara inkörsporten till en attacksekvens som i värsta fall kan hota samhällsviktiga funktioner.
– Mycket av säkerhetsarbetet handlar om att skydda kritiska IT-system och processer eftersom det är där IoT-attackerna kan få riktigt allvarliga konsekvenser. Det gäller också att se till att saker inte är uppkopplade i onödan, att byta lösenord ofta och att alltid ha de senaste säkerhetsuppdateringarna.
Rapporten bygger på studier av vetenskapliga artiklar kring risker med IoT. Målet har varit att inventera, sortera och sammanställa de risker med IoT som beskrivs och utifrån dessa beskriva möjliga sätt för MSB att verka för ökad säkerhet.