Äldre IoT lösningar eller felaktigt installerade system är och har varit måltavlor för hackers och attacker. Säkerhetsriskerna med den massiva utvecklingen av anslutna enheter är en av de största utmaningarna för att realisera den fulla, globala potentialen av IIoT. Men med rätt säkerhetstänk så finns det all anledning att omfamna möjligheterna med IoT. I den här artikeln kommer vi att belysa LoRas möjligheter, och resonera om när du skall välja LoRa, och när du skall välja en annan teknik av praktiska skäl, av säkerhetsskäl eller av tillförlitlighetsskäl.
Hur skyddar man sitt IoT-system?
Inledningsvis så delade vi upp ämnet IoT i två kategorier, Internet of Things (IoT) och Industrial Internet of Things (IIoT). IIoT är en underkategori till den bredare termen IoT vilket gör att de delar många egenskaper när det gäller säkerhet. Om du vill veta mer om skillnaderna mellan IoT och IIoT så läs mer här. Fokus i denna artikel kommer dock att vara på vår expertis: funktion och säkerhet hos den industriella delen IIoT.
I denna artikel kommer vi fokusera på följande:
Säkerhetsrisker med IIoT är ett faktum
Attacker och intrång på IoT enheter har på senare tid ökat markant. Litet siffror:
Enligt Juniper Research ökade intrången från Q1/Q2 2018 till Q1/Q2 2019 från 12 miljoner till 105 miljoner fall.
Enligt Bromium Inc. är cyberbrottens omsättning häpnadsväckande: den uppnår ett värde av 15 miljarder årligen.
Global Markets Insights uppskattar att preventiva åtgärder mot cyberbrott till 2024 omsätter 3 000 miljarder globalt.
Som du förstår står vikten av säkerhet långt upp på agendan och potentiellt finns stora belopp att förlora på att inte ta detta på allvar.
Vilka är riskerna med att företag använder IIoT?
IoT säkerhet är en av de större utmaningarna inom IT. Bristfällig säkerhet även på en enda enhet kan ha förödande konsekvenser. Förutom dataförlust kan en sårbar enhet användas för att komma åt nätverk varpå ytterligare enheter, hela system och företag kan komma att äventyras.
Under 2016 utsattes OVH och DYN utstå den hittills största denial-of-service attacken (DDoS) någonsin, något som gjordes med hjälp av den skadliga mjukvaran Mirai samt ett stort nätverk av botar. När Mirai får åtkomst till en dator letar den sedan efter oskyddade enheter, oftast kameror och DVR-enheter (mobila videolagringsenheter). Enheterna blir sedan infekterade med ett virus som kan påbörja DDoS attacken. På så sätt kom man åt hundratusentals enheter som i sin tur påverkade sajter som Twitter, The Guardian, Netflix, Reddit och CNN. Nu kanske vi inte karaktäriserar kameror som IoT-enheter, men som du förstår, potentiellt med många IoT-enheter kan skadan vara stor.
Avsaknaden av säkerhet när det gäller IoT är dessvärre allt för vanlig. I alltför många fall är data som skickas mellan enheterna över nätverken okrypterade vilket tillåter utomstående att ta del av informationen. För säkerheten och ekonomin är det av yttersta vikt att anslutna system och dess data säkras från början till slut med hjälp utav pålitliga, robusta samt kontinuerligt uppdaterade mekanismer.
Skadliga attacker
Tyvärr finns det fler exempel på cyberattacker med stor påverkan inom IIoT installationer, vi har tidigare skrivit om Shodan som är en sökmotor för att hitta sårbara system. Här nedan hittar du exempel på IIoT-attacker som uppmärksammats.
Stuxnet
En av de mest kända IIoT attackerna tog plats under 2007 när en Iransk ingenjör planterade viruset Stuxnet i ett Iranskt kärnkraftverk i Natanz. Stuxnet är en skadlig datormask vars mål är att sprida sig själv genom hela nätverket medan den letar efter programmerbara, logiska styrenheter. När dessa hittades injicerades kod som fick styrenheterna att agera på skadliga sätt, samtidigt som de rapporterade till operatörerna att allt var under kontroll. Stuxnet ledde till att tusentals apparater och maskiner i kärnkraftverket förstörde sig själva, bland annat genom att centrifuger snurrade snabbare än de själva kunde tåla. Stuxnet var minst sagt en väckarklocka.
Industroyer
En cyberattack 2016 på Ukrainas elnät ledde till ett flertal strömavbrott där nästan 3 miljoner invånare i Kiev stod utan el i en timme. Enligt ESET som senare dokumenterade incidenten var attacken planerad: motivet var att testa förmågan av det skadliga programmet Industroyer. Programmet riktar in sig på äldre industriella protokoll utan större skydd mot angrepp, detta eftersom enheterna aldrig var tänkta att användas i system som var uppkopplade mot internet.
Mirai
En annan känd attack var ett nätverksintrång som gjordes med Mirai. Mirai söker igenom internet efter nätverk med öppna Telnet portar som den sedan försöker få åtkomst till med hjälp av 61 vanliga användarnamn/lösenords kombinationer. När Mirai lyckats läggs enheten till som en av många i dess nätverk av botar. Mirai är med andra ord en centralt kontrollerad samling av anslutna enheter. Enheterna kan sedan användas för att starta DDoS attacker, en sorts attack där en specifik server blir attackerad med webbtrafik tills den slutligen blir överbelastad och stängs ner.
Dessa tre exempel är alla väldigt olika, men lär oss en och samma läxa om att en liten säkerhetsrisk i en enda IIoT enhet kan få katastrofala konsekvenser. Attackerna var trots allt möjliga att stoppa, Stuxnet och Industroyer utnyttjade avsaknaden av virtuell och fysisk segmentering av nätverken medan Mirai inte hade kommit lika långt om tillverkarna och användarna av enheterna varit försiktigare när det gäller hantering av lösenord.
Vad kan göras för att förhindra attacker?
Det finns dessvärre inte någon enhet, protokoll, funktionalitet eller topologi som kan förhindra alla sorters cyberhot i en IIoT miljö. Det första stora steget är att inse hur användandet av infrastruktur förändrats med tiden i takt med att äldre enheter slås ihop med moderna, anslutna enheter och molnplattformar. Systemutvecklare måste ständigt övervaka säkerheten i deras program för att kunna planera och vidta rätt åtgärder vid oförutsedda situationer. IIoT leder trots allt till att miljarder enheter ansluts världen om, där var och en av dem kan vara en potentiell säkerhetsrisk. Vi ska nu se över en del åtgärder man kan ta för att minimera risken för cyberintrång.
Grundläggande åtgärder
De mest grundläggande åtgärderna är att se över säkerheten samtidigt som man samlar in och analyserar data kopplad till implementeringen av industriell IoT. IoT-säkerhet bör implementeras redan från grunden, något som internationella IoT standarder kan göra med hjälp utav omfattande säkerhetsmekanismer som dessutom är öppna och kompatibla bland en stor mängd enheter.
En viktig faktor med säkerheten hos IoT har att göra med att den måste anpassas efter både den enskilda enheten och miljön där enheterna ska installeras på. Vidare skiljer sig säkerheten på en PC från säkerheten för en IoT enhet. IoT säkerheten måste nämligen ta hänsyn till enhetens förmågor sett till beräkning, minnesbegränsningar, energikonsumtion och slutligen begränsning av bandbredd. Detta är något som förekommer ofta i större, energisnåla nätverk (LPWAN). Med dessa säkerhetselement måste man ta hänsyn till att de bör kunna utvecklas med tiden då nya hot ständigt introduceras, även efter enhetens installation. Det är således av yttersta vikt att man kan hantera enheten över tid, exempelvis med regelbundna uppdateringar av mjukvaran.
Slutligen bör man inse att IoT säkerhet inte är statisk, utan ett landskap som ändras dynamiskt över tid. I det fallet en enhet drabbas av intrång ska man snabbt kunna förse den med en ny säkerhetsnyckel, eller i mer extrema fall återkalla dess certifikat helt och hållet.
Vilken teknik bör användas för att säkra anslutna enheter?
Att välja en säkerhetsstandard är det grundläggande tipset. Genom att använda sig av lösningar med en öppen standard försäkrar man sig om att systemet är säkrat från början till slut. Både kryptering och autentisering måste finnas med och vara implementerat på ett säkert sätt.
DTLS, TLS och OSCORE är några exempel på säkerhetsstandarder som effektivt hanterar både autentisering och kryptering av kommunikation mellan anslutna enheter. I vissa fall är TLS för tungt, i synnerhet när det gäller nätverk utan IP likt NB-IoT eller LPWANs, även om våra egna tester visar att TLS fungerar utmärkt på både LTE CAT-M1 och NB-IoT. I sådana fall är det bättre att använda sig av DTLS över UDP eller till och med OSCORE. Säkerheten måste naturligtvis vara dynamisk i dessa restriktiva miljöer, med förmåga att förse uppdateringar på distans eller nya säkerhetsnycklar när de behövs. Dessa funktioner, eller kanske till och med krav, kan direkt kopplas till LwM2M och CoAP protokoll som erbjuder ett standardiserat sätt till bootstrap, provisionering och konfiguration av enheter såväl som andra nyckelfunktioner inom enhetshantering.
Företag och organisationer måste kontinuerligt jobba för att kunna undvika sårbarheter. En av de största, om inte den största faktorn inom IoT säkerhet handlar således om att följa senaste rönen vad gäller säker överföring, senaste mjukvaruuppdateringar och slutligen en central enhetshantering.
Enhetsanslutning och segmentering av lager i en IP-miljö
Interna brandväggar har traditionellt använts för att skydda både nätverk och IIoT miljöer. Antalet anslutna IIoT enheter har dock på senare tid ökat, något som traditionell nätverkstopologi inte självmant klarar av. Eftersom enheterna inte längre enbart kommunicerar internt, men också genom Internet till molnplattformar, räcker det inte längre med skydd från en enda punkt (exempelvis från en core switch). En del installationer av IIoT infrastruktur hade krävt investering av astronomiska siffror om all anslutning hade skyddats av separata brandväggar.
En annan nackdel är att hantering och konfigurering av hundra, kanske tusentals brandväggar inte hade varit realistiskt utan istället skapat en nästan ohanterlig situation. Dessa problem belystes vid ett intrång 2013 (The Target): en grupp hackare kom åt ett försäljningssystem genom sårbarheter i deras HVAC system då de delade samma nätverk. En lösning till detta hade varit mikrosegmentering av enhetslagren, något som med hjälp utav VLANs och ACLs hade förhindrat att viss IIoT utrustning skulle kunna komma åt delar av nätverket som inte är nödvändiga för enhetens funktion. Den stora fördelen med segmentering är att den görs med mjukvara och körs i lagret där enheter ansluts; en enhet som förflyttar sig har en policy som följer enheten och den behöver då inte omkonfigureras.
Lätt lösenordshantering
Hantering av lösenord är en självklar faktor till nätverkssäkerhet. Mirai visade oss dock att det finns miljontals anslutna enheter med lätta lösenord, trots de många andra exemplen på intrång världen om. All utrustning som kopplas upp mot internet måste ha starka lösenord för att förhindra obehörig tillgång, lösenord som dessutom bör ändras periodiskt. Många företag som insåg detta har programmerat sina enheter till att kräva att standardlösenordet ändras under installation, samt infört en räknare som blockerar vidare försök till inloggning när räknaren passerat ett visst antal.
Avancerade säkerhetsfunktioner
Alltför många professionella IIoT installationer görs med verktyg som inte når upp till kraven. Dilemmat står oftast mellan inköpsavdelningen och IT-avdelningen, där den förstnämnda kan komma att välja mindre kostsamma enheter. Inledande besparingar kan komma att bli mycket dyrare, exempelvis vid intrång eller DDoS anfall på grund av att bristfällig säkerhet hos enheterna. Dessa situationer möts enklast genom professionell hårdvara när det gäller anslutningar, exempelvis gateways och routrar som har avancerade säkerhetsfunktioner integrerade i programvaran. Traditionellt handlar det om ett flertal VPN tjänster för krypterad kommunikation, robusta brandväggar och integrerade mekanismer för aktiv DDoS bekämpning.
IIoT säkerhetens framtid
Telekomperatörer, stora industriella organisationer och regeringar världen om är på väg att reglera internationella säkerhetsstandarder. Öppna standarder likt de som stöds av OMA SpecWorks och IETF organisationer kom från mobiltelefonindustrin och används redan av var och en av oss, varenda dag. Det är teleoperatörer, enhetstillverkare och smart-meter leverantörer som förespråkar den mest kvalificerade teknologin för att hantera stora IoT installationer med hög säkerhet. Trots detta faktum existerar det ett stort antal osäkra, proprietära lösningar på marknaden.
Utöver kryptering av data kommer organisationer att fortsätta med utvecklingen av IoT lösningar, i synnerhet när det gäller att implementera säkerhetslösningar på distans då de förstår att enhetshantering påverkar driftskostnader. Framtiden för IIoT är ljus, men säkerhetsaspekterna är naturligtvis en viktig del när man rullar ut tekniken. Digitalisering och anslutning av enheter ser dock inte ut att stanna upp någon gång snart, likaså när det gäller digitaliseringen av infrastruktur och plattformar. IIoT-säkerhet är inget som kan lösas med en enda produkt, funktion eller teknik – istället handlar det om en kontinuerlig process för att minimera risker. Tekniken utvecklas starkt med tiden, men detsamma gäller hot för cybersäkerheten.
Lär dig mer om IoT
För oss är IoT ett brett begrepp. Vi definierar IoT som en samling disruptiva tekniker som möjliggör digitalisering. Genom IoT kan företag få datadrivna insikter som kan hjälpa dem fatta bättre beslut. Med IoT kan vi snabbare nå klimat och jämställdhetsmål. För att snabbare lyckas med en IoT-satsning så är det viktigt med kunskap. Vi har därför satt ihop en 100-sidors publikation om IoT. Du kan ladda ned den genom att ange mailadress och namn nedan, du får därefter ut ett mail med information om hur du laddar ned guiden.