Vår avhengighet av systemer som styres av programvare øker raskere enn vår evne til å sikre systemene. Når alle våre ”dingser” kobles på nett øker angrepsflaten og våre verdier blir sårbare for hacking. Dette utgjør ikke bare en trussel mot informasjonssikkerhet og personvern; også menneskers liv og helse trues når dingser som kan påvirke fysiske systemer i økende grad kobles opp mot Internett.
3. SINTEF IKT
• Mange små aktører og oppstartsbedrifter på markedet
• Manglende standardisering og interoperabilitet
• Mange eksempler på dårlig sikkerhet i produktene
• Billig hardware som ikke har kapasitet til sikkerhetsprotokoller
• Lite bevissthet og kunnskap om sikkerhet og personvern i IoT hos forbrukerne
• Personsensitiv data lastes opp til skyen
• Patching kan være problematisk
• Umodent lovverk og regulering
3
IoT-sikkerhet: Status i 2016
4. SINTEF IKT
• Gartner:
• 5,5 millioner nye dingser vil bli koblet opp mot IoT hver eneste dag i 2016
• I 2020 vil posten i sikkerhetsbudsjettene for håndtering av sikkerhetshendelser i IoT ha økt til 20%
• IDC:
• Innen 2018 vil 66% av alle nettverk ha blitt kompromittert via IoT
• Innen 2020 vil 10% av alle cyberangrep være rettet mot IoT systemer
4
Hvordan ser fremtiden ut?
31. SINTEF IKT
² Safety-By-Design
² Tredjeparts samarbeid
² Bevissikring
² Sikkerhetsoppdateringer
² Segmentering og isolering
31
5-Stjerners rammeverk (automotive)
ü Innse at det vil gå galt og planlegg håndtering
ü Kjenn dine allierte før det går galt
ü Finn problemet og lær av dine feil
ü Ta tak i hendelsen og fiks problemet
ü Unngå at problemet påvirker flere deler av
systemet
Oversatt fra: https://www.iamthecavalry.org/domains/automotive/5star/
35. SINTEF IKT
• Use Internal Memory for Secrets
• Anomaly Detection
• Use Tamper Resistant Product Casing
• Enforce Confidentiality and Integrity to/from the Trust Anchor
• Over the Air Application Updates
• Mutual Authentication
• Privacy Management
• Run Applications with Appropriate Privilege Levels
• Enforce a Separation of Duties in the Application Architecture
• Enforce Language Security
35
Utdrag fra GSMA retningslinjer