DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - produkter (IV)

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - produkter (IV) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer der opstår, når 1) der bygges intelligens ind i produkter, og 2) produkterne sættes i stand til at kommunikere med omverdenen. Vejledningen skitserer nogle forskellige tekniske og metodiske løsningsmodeller, som man bør overveje at tage i anvendelse, når man sikrer sine produkter. Det underliggende hovedformål med at sikre sine produkter er at sørge for at minimere den risiko, som kunderne udsættes for ved at bruge produktet. Herved sikrer man, at kunderne får en god oplevelse af og tillid til produktet noget der i sidste ende gerne skulle bidrage positivt til forretningen. Der er skrevet meget lidt om produktsikkerhed i bred forstand. Sikkerhed i produkter er typisk meget afhængig af det enkelte produkt, og den måde produktets intelligens og kommunikationsmetode er bygget ind i produktet på. Alligevel prøver vi i denne vejledning at pege på nogle løsningsmodeller, som gerne skulle kunne bruges på tværs af produkters karakteristika. Vejledningen er et supplement til DI og DI ITEKs tre vejledninger om produkt- og produktionssikkerhed fra foråret Den første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. De første tre vejledninger er udformet så de retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Denne supplerende fjerde del er rettet mod danske virksomheder, som allerede har eller er i gang med at overveje, at bygge intelligens ind i deres eksisterende produkter. Hos den enkelte virksomhed bør det være produktchefen og informationssikkerhedschefen, som er målgruppe for denne vejledning. Baggrund Som nævnt indledningsvis er der ikke skrevet meget om generel produktsikkerhed formodentlig fordi der skal udarbejdes relativt individuelle løsninger til det enkelte produkt. Et godt udgangspunkt er derfor at lade sig inspirere af de mulige trusler, som produktet står overfor. Hvis man kan sige ja til, at en trussel kunne være til skade for brugeren af produktet, kan der være god grund til at foretage en risikovurdering og beslutte, om der skal iværksættes beskyttende tiltag som f.eks. nogle af dem, der er omtalt i denne 3

4 vejledning. I DI og DI ITEKs hæfte: Trusler mod virksomhedens IT-sikkerhed 1 har vi med udgangspunkt i OCTAVE-modellen gennemgået nogle af de trusler, som virksomheden typisk står overfor. Relateret til produkter kunne det f.eks. være 2 : Kan der være interesse for at uvedkommende kan aflure data fra produktet? Forestil dig at du leverer smarte tagvinduer, som kan åbnes via fjernbetjeninger. En indbrudstyv kunne have interesse i at få adgang til og kopiere det signal, der sendes fra ejerens fjernbetjening til vinduet. Ved at sende en kopi af signalet kan indbrudstyven måske åbne vinduet selv og dermed få adgang til et ellers sikkert aflåst hjem og derved omgå et nok så solidt låsesystem på døren. Den indbyggede intelligens, der skulle være en service for vinduets ejer, bliver dermed en risiko. En sådan hændelse vil absolut også være en risiko for vinduesproducenten, som næppe sælger mange flere af denne type vinduer, lider et imagetab og risikerer at skulle betale erstatning til vinduets ejer. Kan der være interesse for uvedkommende i at ændre de data, som produktet afgiver? Forestil dig at du producerer intelligente målere, som kan bidrage med pædagogisk forståelse om optimering af energiforbrug i hjemmet samtidig med at energileverandøren løbende kan følge med i forbruget i det enkelte hjem. Alle forbrugere vil have et positivt incitament til at manipulere med sådanne målere for simpelthen at reducere det aflæste forbrug og dermed spare penge på energiregningerne. Hvis forbrugerne har held med dette taber energileverandøren penge. Målerproducenten vil næppe kunne sælge mange flere af den pågældende type målere, han vil lide et imagetab og han kan blive erstatningsansvarlig. Kan der være nogen uvedkommende, der har en interesse i, at produktet ikke kan aflevere sine data? Sporing har stor betydning i mange dele af industrien. F.eks. sporer man lastbiler og containere via GPS, dels af hensyn til logistik og dels for at undgå at de udsættes for pirateri. Tilsvarende indbygger man RFID-chip i møbler, som skal kunne identificere møblet unikt, hvis det bliver stjålet. Ondsindede personer, der gerne vil stjæle de pågældende produkter, vil have en interesse i at afbryde produkternes mulighed for at kommunikere. Hvis man vil have god nytte af den indlejrede intelligens, må man altså gøre, hvad man kan for at sikre, at en sådan kommunikation er vanskelig at afbryde. Kan der være nogen, der har en interesse i at produktet holder op med at virke? Forestil dig at du leverer medicinsk udstyr som f.eks. en pacemaker eller en insulinpumpe. Ved at indbygge intelligens i dette apparat kan man f.eks. fjernovervåge patienten, give den rette dosis medicin eller sikre sig at patientens hjerte virker, som det skal. I bedste krimistil kan nogen have interesse i at manipulere med dette. Nogle (politiske aktivister eller arvinger) vil måske gerne slå en person ihjel. Andre vil måske gerne afpresse personen. Konkurrenter kan måske have en interesse i at få udstillet produktet som ringe. Hvis man kan få produktet til at holde op med at virke vil producenten ikke kunne afsætte produktet, lide imagetab og eventuelt bliver erstatningsansvarlig. I nogen tilfælde har systemer med indlejret intelligens også et lille indlejret batteri. Et sådant batteri er ofte temmelig lille, fordi der er brug for ganske lidt strøm for at få produktet til at virke selv over en længere årrække. I de tilfælde, hvor produktet er indlejret og dermed fysisk vanskeligt tilgængeligt (f.eks. en De nævnte eksempler er tænkte eksempler og er altså ikke alle demonstreret i den virkelige verden. 4

5 pacemaker eller en fugtsensor indstøbt i en fundamentblok), kan man få produktet til at holde op med at virke, ved at sende så mange uvedkommende henvendelser eller ordrer til produktet at batteriet hurtigt bliver brugt op 3. Kan uvedkommende via adgang til produktet gøre skade på andre produkter eller brugere? Forestil dig at du producerer vindmøller. Hvis en ondsindet person kunne få adgang til og kontrol med en enkelt vindmølle kan dette måske bidrage til at få adgang til andre dele af den energiinfrastruktur, som vindmøllen er placeret i. Dette kunne helt sikkert have interesse for politiske ekstremistiske aktivister, der gerne vil gribe ind med angreb på væsentlig infrastruktur i et samfund. Hvis en vindmølle kan overtages og kontrolleres af uvedkommende vil dette helt sikkert betyde, at det bliver vanskeligt at afsætte produktet, producenten vil lide et imagetab og kan eventuelt blive erstatningsansvarlig. Men det behøver ikke at være produkter, der indgår i kritisk infrastruktur, som er omfattet af denne trussel. Hvad vil der kunne ske, hvis en uvedkommende kan overtage kontrollen med dit internetforbundne fjernsyn og bruge dette sammen med andre fjernsyn til at angribe it-installationer? Hvad vil der ske man kan overtage kontrollen med den intelligente bil eller det intelligente trafikstyringssystem? Eller hvad vil der ske hvis en ondsindet person kan få dit høreapparat eller trådløse headsæt til at bryde i brand? I takt med at vi bygger mere og mere intelligent ind i produkterne får vi bedre produkter med mere service. Vi får produkter, der gør menneskers liv bedre. Men det er vigtigt, at vi også erkender, at intelligensen giver nye risici, som produkterne ikke havde tidligere. Vi skal have forestillet os disse risici på forhånd. Vi skal have håndteret dem til et rimeligt niveau, således at det, der skulle gøre livet lettere for menneskene (kunderne), ikke pludselig får den modsatte effekt. Vi skal have håndteret dem, så produktrisikoen ikke bliver til en finansiel risiko, og virksomhedens investorer taber penge. Vi skal have håndteret dem, så produkter, der er udviklet med indbygget intelligens, som har givet danske virksomheder en konkurrencefordel, ikke pludselig resulterer i danske virksomhedslukninger og tab af danske arbejdspladser og vækst. Overblik over løsninger Vi vil i denne vejledning gennemgå nogle løsninger og overvejelser, som kan bidrage til at håndtere nogle af de risici, der er skitseret ovenfor. 3 Dette er et klassisk angreb på tilgængeligheden kaldet Sleep Deprivation Torture. 5

6 Common Criteria certificering Certificering er en ganske udbredt måde at demonstrere, at ens produkter efterlever nogle specielle krav. På sikkerhedsområdet findes der masser af forskellige standarder. Der er dog særlig en af dem, som er rettet mod certificering af it-udstyr og it-løsninger og det er Common Criteria (CC), som er en ISO standard (ISO 15408) 4. Formålet med CC er at verificere, at softwaren er sikker, fordi den efterlever nogle tekniske sikkerhedsfunktionaliteter. For at sikre dette, må produktet følge visse krav i løbet af sin udvikling, omend der ikke er krav til udviklingsprocessen som sådan. Tilsvarende må produktet kunne give brugeren den fornødne guidance og den sikkerhedsfunktionalitet, som det lover. Ideen er, at produkter, som kan CC certificeres, har højere sikkerhed (i betydningen: efterlever det de lover) end produkter, der ikke er CC certificeret. CC certificering er primært ment som en måde at kunne sammenligne sikkerhed mellem produkter. På den måde kan man vælge at øge sikkerheden ved kun at efterspørge produkter, der efterlever certificeringen. Certifikatet udstedes til et konkret produkt eller en konkret løsning. Den internationale gensidige anerkendelse af certifikaterne sker via deltagelse i Common Criteria Recognition Agrement (CCRA), som Danmark har tiltrådt i Producenten udpeger en Commercial Licensed Evaluation Facility (CLEF), som gennemgår en proces for produktet. Resultatet af denne præsenteres for certificeringskomite, som så udsteder certifikatet 5. I praksis forløber processen som følger: En producent eller en kunde identificerer et produkt, som man gerne vil certificere. Dette produkt kaldes for Target of Evaluation (TOE). Hvis initiativet til at få certificeret et produkt ligger hos kunderne (i bred forstand, f.eks. også staten og standardiseringsorganisationer) opstiller de nogle krav til hvilken sikkerhed produktet skal efterleve. Disse krav beskrives i en Protection Profile (PP) 6. Hvis initiativet til at få certificeret et produkt ligger hos producenten beskriver han de sikkerhedsforanstaltninger, der er indbygget i produktet i et Security Target (ST). Såfremt initiativet kommer fra kunderne, vil det altid være nyttigt for producenten at sikre, at hans ST som minimum indeholder de krav, der er fremsat i de mest anvendte PP ellers kan hans produkt ikke efterleve kundernes krav. Indholdet i ST og PP består som oftest af en præcisering af TOE, en beskrivelse af relevante sikkerhedsproblemer/trusler, nogle målsætninger for sikkerheden (der kan være tilknyttet truslerne 1:1) tillige med en beskrivelse af målsætningerne formuleret formelt som: 4a. Security Functional Requirements (SFRs), som beskriver den sikkerhedsfunktionalitet, der skal ligge i produktet f.eks. hvem må få adgang til at gøre hvad med produktet. Denne beskrivelse skal være formel i betydningen teknisk og gerne følge tekniske standarder på området. 4 For en introduktion til CC, se: Den samlede CC kan findes her: Konkrete eksempler på Protection Profiles lavet for den amerikanske regering kan findes her: 6

7 4b. Security Assurance Requirements (SARs), som beskriver hvilke tiltag, der skal være taget for at sikre, at produktet faktisk har den sikkerhedsfunktionalitet, som det hævder, at det har. I praksis stiller SAR krav om, at der skal kontrolleres for hvordan produktet er udviklet, hvilken guidance man kan få til implementering og drift af produktet, tests af produktet, sårbarhedsanalyse af produktet og lifecycle support af produktet. Verifikationen af SAR kan foregå med forskellige niveauer af grundighed kaldet Evaluation Assurance Level (EAL). Der findes syv niveauer af dette. Ved at vælge et højere niveau af EAL får man altså ikke et sikrere produkt, men et produkt som, der er bedre sikkerhed for, efterlever det, der er blevet evalueret for. Det er ganske usædvanligt at have kommercielle produkter, som er certificeret på mere end niveau fire. De højeste grader af certificering findes til produkter og løsninger, som har en meget begrænset funktionalitet og anvendelsesområde, eller til virksomheder og organisationer, der har særlig strenge krav til sikkerhed f.eks. forsvarsindustrien. CC specificerer ikke selv en detaljeret udviklingsmodel, som skal følges. I stedet angives de generelle sikkerhedskrav, der bør opfyldes. Disse bør opstilles inden udviklingsprocessen påbegyndes, således at man er sikker på at give en rimelig sikkerhedsfunktionalitet, og således at man kan give den funktionalitet, som er efterspurgt af markedet. Det skal bemærkes, at på det danske marked er efterspørgsel af CC-certificeringer ganske minimal. Det skal også fremhæves, at CC-certificeringer er så specifikke, at de kun gælder ganske konkrete konfigurationer af et produkt. Hvis produktet omkonfigureres, gælder CC-certificeringen ikke nødvendigvis længere. Endelig skal det fremhæves, at CC kan være ganske tungt at arbejde med særligt for mindre og mellemstore virksomheder. Desuagtet er CC-certificeringer et godt bud på at få arbejdet med sikkerheden i sine intelligente produkter og få demonstreret at sikkerheden er på plads overfor omverdenen. Foruden CC, som er en generel certificering, findes der også mere snævre certificeringer eller udstedelse af mærker m.v., der har til formål at demonstrere, at sikkerheden i større eller mindre grad er blevet afprøvet. F.eks. laver CompTIA og ViaForensics en undersøgelse af om mobile applikationer efterlever visse på forhånd definerede krav 7. Det kan betale sig at undersøge, om der findes tilsvarende tiltag i den branche, som virksomheden hører til. Penetrations- og sårbarhedstetest samt andre tests Test af produkter er et helt almindeligt kendt fænomen. Den mest oplagte test er at se, om produktet virker efter hensigten. Andre tests kommer også jævnligt på tale f.eks. test af slitage, test af produktionsforløbet, test af kvaliteten, test af brugervenligheden og test af design og emballage. Det er nødvendigt systematisk at føje tests af sikkerheden til denne gruppe af tests. Der er flere forskellige typer af sikkerhedstests 8 : /New_Secure_Mobile_App_Developer_Credential_Planned_by_CompTIA_and_viaForensics.aspx. 8 En glimrende oversigt over de forskellige sikkerhedstests kan findes i NIST SP , En mere abstrakt og digert værk er The Open Source Security Testing Methodology Manual, OSSTMM 3, 7

8 I IT-verdenen har man i mange år brugt de såkaldte penetrationstests. Penetrationstest er en metode, hvor man simulerede angreb fra personer med ondsindede hensigter, som forsøger at få adgang til it-systemet. Der testes f.eks. for potentielle sårbarheder som følge af fejl på hardware, konfigurationsfejl eller programfejl i softwaren. Der kan også testes for om de tilstrækkelige korrigerende foranstaltninger er til stede og virker. F.eks. kan man bestille konsulenter, der forsøger at hacke virksomhedens hjemmeside. Testen kan inkludere en undersøgelse af, hvor mange besøgende der kan være på hjemmesiden af gangen 9. Testen vil også inkludere en undersøgelse af, om siden har sårbarheder i form af fejl i programmeringen, som kan udnyttes af de ondsindede personer 10. Endelig vil testen også se på, om der kan findes fejl på den webserver (inklusiv omgivende hardware), som siden er lagret på 11. Det er vigtigt, at penetrationstests gennemføres på både netværkslaget og applikationslaget. Penetrationstests på netværkslaget er typisk semiautomatiserede skanninger, som kortlægger, hvor der kan sendes informationer ind i eller ud af virksomheden. Resultatet af denne type skanninger vil ofte være en liste over åbne porte og eventuelle sårbarheder, der kan udnyttes direkte. Penetrationstests på applikationslaget er, som det fremgår af ordet, test af et program. Det er typisk en mere manuel proces, hvor testeren leder efter typiske programmeringsfejl som f.eks. sql injections eller cross site scripting eller logiske fejl, som f.eks. systematisk forkert henvisning til en modtager. En delmængde af penetrationstests kaldes også sårbarhedsskanninger. Hen skanner man automatisk efter tilstedeværelsen af en række kendte sårbarheder enten på netværkslaget eller applikationslaget. Der findes også tests der er rettet mod trådløs kommunikation. Her kan man teste om et produkt kan kommunikere via forskellige trådløse teknologier 12 f.eks. GPRS, UMTS, WI-FI (IEEE x), WiMax, Blutooth, ZigBee, og Z-Wave og ikke mindst om der i tilknytning til disse er sårbarheder. Endelig anvendes der ofte fysiske penetrationstests, som har til formål at se, om uvedkommende via f.eks. social engineering kan snyde sig forbi receptionen eller forbi hunde og hegn. Denne type penetrationstest er irrelevant i forbindelse med produkter. Den typiske penetrationstest forløber i henhold til NIST som følger: 9 Ondsindede personer vil ofte forsøge at belaste serveren med så meget ondsindet trafik, at den ikke kan give svar på den rigtige trafik fra de rigtige kunder. Den ekstra mængde trafik betyder at serveren går ned, holder op med at være tilgængelig, at svare. Dette kaldes et Distributed Denial of Service angreb. 10 Hjemmesiderne er ofte lavet til at give svar på et spørgsmål. Hvis man f.eks. har et felt på en hjemmeside, hvor det er meningen at brugeren skal indtaste sit telefonnummer, bør det specificeres at der kun kan indtastes tal og kun tal i særlige formater (f.eks. +45 for Danmark og otte-cifrede telefonnumre). Hvis denne begrænsning ikke er lagt ind, kan en ondsindet person måske sætte en tekststreng med skadelig kode ind, som gør at han kan få adgang til hjemmesiden. 11 Der findes løbende fejl i de programmer, som styrer computeren. Vi kender alle til at man løbende opdaterer de forskellige programmer på en computer med nye opdateringer, som enten giver ny funktionalitet eller som opdaterer fejl i programmeringen af programmet. Hvis webserverens styresystem ikke er opdateret kan der findes sådanne fejl og disse kan udnyttes til at give den ondsindede person kontrol over webserveren. 12 En glimrende introduktion til de forskellige trådløse teknologier og deres karakteristika kan findes på Wikipedia: Som det kan ses anvendes de til forskellige formål, der bl.a. er bestemt af deres rækkevidde, hastighed og kommunikationsfrekvens. 8

9 Planlægningsfase I denne fase defineres testens målsætning, omfang og ledelsen accepterer reglerne for gennemførsel af testen. Analysefasen I denne fase indsamles forskellige informationer om det, der skal skannes, og der gennemføres skanninger af porte og services m.v., så man kan se, f.eks. hvilke porte man kan kommunikere på og hvilke versioner af hvilken software, der kører på systemet. Herefter gennemføres der en sårbarhedsskanning af den information, man indledningsvis har fået indsamlet. På denne baggrund har man en oversigt over, hvor man eventuelt kan slå til og angribe systemet. Angrebsfasen I denne fase gennemføres det egentlige angreb. Man vil forsøge at få adgang til systemet, herefter vil man forsøge at få stadig større privilegier på systemet og gerne opnå at kontrollere det. Endelig vil man undersøge, om man via systemet kan få adgang til andre systemer, tillige med at man vil installere forskellige værktøjer, der gør, at man kan bevare kontrol med systemet. Afrapportering Undervejs i hele processen indsamles der data. Disse vil i den afsluttende fase blive opsummeret således, at systemets ejer kan se, hvilke sårbarheder der findes, hvilken risiko for udnyttelse der er i sårbarhederne og endelig gode råd til hvordan disse kan afhjælpes. I den finansielle sektor er penetrationstests så populære, at det er gjort obligatorisk at foretage penetrationstests hos virksomheder, der håndterer betalinger via kreditkort 13. Anvendelsen af penetrationstests vil i nogle sammenhænge følge af lovgivning. I USA stiller HIPAA sikkerhedsreglerne krav om at der foretages penetrationstest. Man kunne godt have en forventning om, at der i stigende grad vil blive stillet krav gennem lovgivning, branchemæssig selvregulering eller bare krav fra kunderne om at der er gennemført en (årlig 14 ) penetrationstest, og hvilke resultater testen gav. At gennemføre en troværdig penetrationstest kræver særlig uddannet personale. Det anbefales for langt de fleste virksomheder at hyre en ekstern samarbejdspartner ind. Både for at sikre sig den tilstrækkelige faglige viden og for at sikre sig at den der tester er uafhængig af virksomheden. Virksomheden kan dog med fordel sætte sig ind i området og blive en bedre sparringspartner for den der skal gennemføre testen. Det kan bl.a. ske ved at sætte sig ind i nogle af de metodikker, der anvendes ved gennemførsel af penetrationstests. I særdeleshed kan det betale sig at læse NIST SP , pp Løsninger baseret på udveksling af nøgler I en række tilfælde er det en vigtig sikkerhedsparameter, at kun bestemte computere kan kommunikere med produktet. Et oplagt eksempel er pacemakere. Det vil være nyttigt, hvis kun lægen, hospitalet og pacemakerens ejer kan kommunikere med pacemakeren. På den måde kan det sikres, at uvedkommende ikke kan sidde i et tog og hacke sine medpassagerers pacemakere. I vores eksempel med vinduer styret af 13 Payment Card Industries Security Standards kan findes her: Det er krav 11.3, der vedrører penetrationstests. 14 En pacemaker eller et intelligent vindue installeres for at holde i mange år. Det nytter ikke noget kun at teste én gang. Trusselsbilledet og de ondsindedes metoder udvikler sig løbende og en sårbarhed, der ikke blev opdaget eller ikke kunne udnyttes for et år siden er måske højaktuel i dag

10 fjernbetjeninger ville det også være nyttigt, dersom det kun var ejerens egen fjernbetjening, der kunne styre åbningen af vinduerne. Andre eksempler inkluderer kommunikation med produktionsudstyr og kommunikation med indlejrede sensorer. Alle virksomheder bør overveje, om deres produkt er af en sådan karakter, at det kan medføre skade på produktet eller skade for ejeren, hvis uvedkommende computere kan få adgang til at kommunikere med produktet. Der findes en række løsninger, som sikrer, at alene to på forhånd bestemte parter kan kommunikere med hinanden. Alle disse løsninger er på en eller anden måde baseret på kryptering 16. Lad os forestille os at man bygger et nyt hus. Huset inkluderer en række sensorer i selve bygningen: regnsensorer til at lukke vinduer, fugtsensorer i fundament og tag så man kan sætte ind overfor skader på et tidligt tidspunkt, glasbrudssensorer til at forebygge indbrud, gassensorer til detektion af udslip af naturgas, bevægelsessensorer til at tænde lyset, osv. Ejeren af huset vil gerne sikre sig, at han og familien trådløst kan styre huset uden indblanding fra uvedkommende tyveknægte, nysgerrige naboer, virksomheder, staten og andre, der kunne tænke sig at give en hånd med. Ejeren vil derfor gerne sikre sig, at alle sensorer og målere i huset alene afgiver information til og modtager ordrer fra de computere, som ejeren bestemmer sig for. Samtidig skal det være sådan, at når der kommer et nyt familiemedlem eller en ny computer eller smartphone i hjemmet, så kan ejeren bestemme, at også denne computer må kunne kommunikere med sensorer og målere, ligesom han kan fjerne muligheden for, at gamle computere fortsat må kunne kommunikere. Endelig vil ejeren gerne sikre sig, at alle hans egne sensorer og målere tilknyttes computerne men at naboens censorer og målere ikke bliver det. Sensorer og målere skal dermed lære, hvilke computere de må kommunikere med og samtidig vide, at det er forbudt at kommunikere med alle andre computere end dem, der eksplicit er tilladt. På den måde kan man opnå sikkerhed for, at uvedkommende ikke kommunikerer med ejerens sensorer og målere. Sensorer og målere er som udgangspunkt, når de leveres fra producenten, i en fødselstilstand, hvor de ikke har nogen ejere. Fra det øjeblik, hvor de er bragt ind i hjemmet og tændes for første gang, er der risiko for, at naboen eller ondsindede forbipasserende kan overtage kontrol med dem. For at imødegå denne trussel må sensoren eller måleren udover en wi-fi adgang fødes med en location-limited side channel f.eks. Near Field Communikcation 17, som har ekstremt kort rækkevidde eller et fysisk interface som f.eks. en USBindgang 18. På den måde kan det sikres, at det virkelig kun er ejerens smartphone (og andre computere i tilstrækkelig fysisk nærhed), der kan kommunikere med enheden. Lad os antage at ejeren får en ny sensor, og at han ønsker, at denne skal kommunikere med hans smartphone. Når man skal installere sin nye sensor eller måler, sker der en første udveksling af kommunikation i form af kryptografisk information mellem de to parter via den såkaldte location-limited side channel. 16 Anbefalingerne i dette afsnit er fortrinsvist baseret på Frank Stajano og Ross Andersons The Resurrecting Duckling: Security Issues for Ad-hoc Wireless Networks, att.pdf og Dirk Balfanz, D. K. Smetters, Paul Stewart og H. Chi Wongs Talking To Strangers: Authentication in Ad-Hoc Wireless Networks, 17 Standard for radiokommunikation på korte afstande, specificeret i ISO/IEC / ECMA-340 og ISO/IEC / ECMA Se f.eks. WirelessHART, 10

11 Både sensoren og smartphonen antages at have deres egen offentlige og private nøgle. Nøgleparret har den funktion, at de kan bruges til at kryptere eller dekryptere en besked. Hvis en person, Bob, vil sende en besked til en anden person, Alice, kan Bob kryptere sin besked med Alices offentlige nøgle. Herefter er det kun Alice, der kan læse beskeden ved at dekryptere den med sin private nøgle. Nøglerne genereres på en sådan måde, at selv med kendskab til den offentlige nøgle er det indenfor næsten uendelig tid umuligt at gætte den private nøgle selv hvis man bruger verdens største computer. I vores tilfælde sender sensoren sin offentlige nøgle til smartphonen, og smartphonen sender sin offentlige nøgle til sensoren. Begge udvekslinger sker via den location limited side channel. Når de to parter har udvekslet offentlige nøgler via denne side channel, kan de optage kommunikationen over større afstande via wi-fi adgangen. De kan stadig kende hinanden, fordi de har hinandens offentlige nøgler: Smartphonen sender et ønske om at kommunikere til sensoren krypteret med sensorens offentlige nøgle. Sensoren dekrypterer kommunikationen med sin private nøgle og beviser dermed, at det er den rigtige sensor. Sensoren svarer tilbage til smartphonen med et svar, der er krypteret med smartphonens offentlige nøgle. Smartphonen dekrypterer svaret med sin private nøgle og beviser dermed, at det er den rette modtager. Den kommunikation, som foretages via wi-fi, kan f.eks. foretages på samme måde, som vi kender det ved elektroniske betalinger 19. Sikkerheden ligger i tre elementer: For det første vil det være meget vanskeligt grænsende til umuligt for en ondsindet person at komme så fysisk tæt på sensoren, at han vil kunne udveksle nøgler med den via sin egen smartphone i den location limited side channel 20. For det andet ville ejeren opdage at noget var galt, hvis der allerede var en anden part, der havde kontrol med sensoren. For det tredje vil en ondsindet person, der forsøger at få adgang til sensoren via wi-fi, ikke kunne kommunikere med denne, da han ikke har smartphonens private nøgle, og derfor ikke kan dekryptere det budskab sensoren sender, som er krypteret med den offentlige nøgle fra ejerens smartphone. Det skal bemærkes, at det bestemt ikke er alle sensorer og målere, som har regnekraft til at udveksle nøgler og foretage kryptering og dekryptering via disse. Man kan derfor vælge at anvende mere simple former for kryptering end selve nøglerne. Der kan være tale om certifikater, eller der kan være tale om kortere udgaver af nøglerne kaldes kryptografiske hash-funktioner. Man kan også vælge en løsning, hvor kun den ene part har en offentlig nøgle (hvis sensoren eller måleren må stille data til rådighed for alle), eller hvor man baserer sig på delte hemmeligheder mellem de to parter som erstatning for nøgler. Da dette ikke er en vejledning i kryptologi, vil vi ikke gå mere i dybden med dette i denne vejledning. I ovenstående eksempel har vi lavet et sæt nøgler pr. computer et for sensoren og et for computeren. I nogle sammenhænge kan man i stedet lave en gruppenøgle, som alle parter i gruppen deles om. Det kan f.eks. være relevant, hvis man fra sin smartphone gerne vil kommunikere med en flerhed af sensorer på én 19 Radiokommunikationen foregår via en sikkerhedsprotokol kaldet TLS (tidligere SSL). 20 Anvendes der NFC, vil man på større afstande med det rette udstyr potentielt set kunne aflytte kanalen, men sandsynligheden for at dette skulle ske er meget lille. Se en diskussion af dette i Ernst Haselsteiner og Klemens Breitfuß: Security in Near Field Communication (NFC), Det kan eventuelt overvejes om ejeren skal kunne tænde og slukke for den location limited side channel via sin wi-fi-forbindelse, så den kun står åben i de meget korte tidsrum, hvor der skal tilføjes nye computere til muligheden for at kommunikere med sensoren. 11

12 gang. Den initiale forbindelse mellem sensorer/målere og computere/smartphones skal også ske over en location limited channel. Det meste at sikkerheden fungerer som i ovenstående eksempel, hvor der kun er to parter. Først deles de offentlige nøgler mellem to parter via en location limited channel. Når parterne har autentificeret sig udsendes en gruppenøgle baseret på de offentlige nøgler til hele gruppen. Via denne gruppenøgle kan hele gruppen kommunikere sammen, men uvedkommende vil ikke kunne læse kommunikationen. Gruppenøglen kan udsendes af en central administrator eller mellem de enkelte enheder, når den indledende manøvre gennem den location limited channel er på plads. I praksis findes der på markedet løsninger, hvor man kan kommunikere med sine intelligente ting eller sit produktionsudstyr, over internettet men ved udveksling af certificerede nøgler. Når man begiver sig i kast med at indrette sine løsninger på denne måde må det anbefales at kontakte en leverandør på området, som kan indrette certifikaterne på en hensigtsmæssig måde og skrive en relevant protokol (eller anvende en standardprotokol). Det kan bl.a. foregå således, at der installeres en lille webserver på den enhed, man gerne vil kommunikere med. En bruger åbner så en browser og indtaster URL'en (inkl. f.eks. et serienummer) til den enhed, han gerne vil kommunikere med. Herefter udveksles der certifikater mellem enheden og browseren. Certifikaterne godkendes af en central service provider. Når godkendelsen af certifikaterne er på plads, oprettes der en direkte krypteret forbindelse (a la Skype) til enheden 21. Firewall og andre klassiske sikkerhedstiltag på lokale enheder I nogle tilfælde er der på det lokale smarte produkt tilstrækkelig regnekraft til, at man kan installere mere klassiske sikkerhedsløsninger som f.eks. en firewall, der overvåger og blokerer trafik, som ikke er tilladt. Sikkerhedstiltag som disse er kendt for at sikre perimeteren - f.eks. at sikre en fabriks eller et privat hjems forbindelser til omverdenen eller til at dele et netværk ind i forskellige zoner. Imidlertid kan man betragte hver enkelt smarte enhed som en zone. Man kan så på den enkelte enhed installere en firewall og sikre, at enheden kun tillades at kommunikere med de parter, som det på forhånd er bestemt at tillade. Man skal også overveje mulighederne for andre klassiske sikkerhedstiltag som f.eks. opdatering, intrusion detection og antivirus. Følg med i trusselsbilledet og isoler produkter Et produkt, som er intelligent, er ikke bare et færdigt produkt! Der er behov for at man løbende holder øje med trusselsbilledet for produktet. Mange produkter holder længere end forventet af producenten og kunderne har derfor typisk en anden end of life opfattelse end producenten. I de fleste hjem står en 15 år gammel vaskemaskine, fryser, elmåler eller tilsvarende. Produkterne indgår måske også i en anden sammenhæng f.eks. kobles på et hjemmenetværk end forventet af producenten. Hvis sådanne produkter hackes og skaber ravage for andre installationer i hjemmet, vil det uanset at producenten måske har taget sig sine forbehold rent juridisk skabe en utilfreds kunde. Virksomheder, der indbygger intelligens i deres produkter, bør tænke på deres produkter på en ny måde. Dette råd implicerer dog ikke bare at læse nyhedsbreve. Der skal i virksomheden skabes et overblik over: Hvilke produkter har vi lavet? Hvilken software køre på disse produkter og i hvilken version? 21 Se eksempel på en konkret løsning på 12

13 Hvilken hardware har vi brugt (standardchip, batterier, osv.)? Hvor lang tids garanti har vi givet på produktet (det juridiske ansvar) og hvor lang tid forventer vi reelt set at produktet lever ude hos kunderne (det moralske ansvar og forsvar mod dårlig omtale og utilfredse kunder)? Hvilke trusler er der imod de pågældende produkter? Hvor forefindes det pågældende udstyr typisk (befolkningssegmenter, markeder/lande, professionelle kunder)? Hvordan anvendes produktet og anvendes det i praksis i sammenhæng med andre produkter? Hvordan kommunikerer vi nye trusler ud til dem, der typisk har vores produkter (evt. offentligheden) 22? På baggrund af disse oplysninger kan man følge med i, om der sker sårbarheder i netop den software eller hardware, der er brugt i det produkt virksomheden producerer 23. I denne forbindelse kan det typisk betale sig at lave en intern sårbarhedsdatabase, som, i det omfang at der findes løsninger i form af opdateringer, kan gøres delvist offentligt tilgængelig f.eks. online. Det kan også betale sig at nedskrive en egentlig patch management strategi, for de produkter man producerer. På den måde sikrer man, at der er adgang til relevante opdateringer (naturligvis henset til om det er muligt for brugeren at opdatere produktet). Man kan også i tilknytning til en sådan service give mulighed for download af manualer, software med ny funktionalitet og andet, der giver en god oplevelse for kunden. Der er også mulighed for at produktet kan opdatere sig selv via et hjemmenetværk. Hvis man vælger denne løsning, skal man være forsigtig, fordi det eventuelt vil kunne udgøre en sårbarhed i sig selv, der kan udnyttes af ondsindede personer. Virksomheden bør også overveje, om produktet efter garantiperiodens udløb, eller når kunden måtte ønske det, skal isoleres således, at produktet ikke længere kan kommunikere med omverdenen. Det afhænger selvfølgelig af produktets karakter: En fjernbetjening kan næppe isoleres, men en pumpe kan måske godt. Isolation er under alle omstændigheder en metode, der ofte bruges i andre sikkerhedssammenhænge. 22 En god praktisk tilgang til sådan en kommunikation findes hos Siemens, der har lavet deres egen produkt CERT se f.eks. og 23 Flere private sikkerhedsleverandører tilbyder services, hvor man kan blive opdateret på sårbarheder. Hertil kommer The Repository of Security Incidents, hvor man kan få et samlet overblik over trusler, 13