IoT-sikkerhed Trusler og løsninger i produktionsapparatet og intelligente produkter
DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Produktsikkerhed / IoT-sikkerhed Produktionssikkerhed / OT-sikkerhed Privacy 2
Tech trends Internet of Things IoT bidrager til den store datastrøm Alle ting får indlejret computere, bliver intelligente, kommer online og leverer data. Teknologierne hjælper os med at træffe beslutninger i nuet eller træffer beslutningerne for os Computing sker overalt og til en vis grad uden direkte aktivering fra brugerens side Der vil blive fokuseret på hvordan de decentrale enheder skal kunne få energi 3
Trusler et par tal 317 millioner nye malwarevarianter i 2014 113% stigning i ransomware attacks Mængden af spear-phishing mails sendt er faldet, men de er blevet mere målrettet stealth Zeroday sårbarheder har ligget på et niveau omkring 14 pr. år i 2006-2012, men i 2013-2014 har de ligget omkring 23. Fremmede lande, it-kriminelle, hacktivister/idealister, ekstremister, whitehats, osv 4
How I Hacked my Home 5
Trusler - whitehats https://www.youtube.com/watch?v=mk0srxbc1xs 6
Trusler - whitehats https://www.youtube.com/watch?v=haj09joyh6i 7
IoT-sikkerhed 1 Processer til at håndtere sikkerhed Virksomheden skal have processer på plads, som håndterer sikkerheden i intelligente produkter og de mobile apps og backend databaser, som produkterne kommunikerer med. Risikovurdering Virksomheden skal lave en risikovurdering af de mulige trusler de kan stå overfor, når de gør deres produkter intelligente. Dataklassifikation Virksomheden bør vurdere, om der behandles data og i givet fald hvilke data, der behandles i produktet. Data bør klassificeres efter deres følsomhed. Privacy Personoplysninger skal beskyttes i henhold til lovgivningen og virksomhederne kan desuden med fordel vurdere, hvordan de opnår de bedste tillid hos brugerne, når de anvender personoplysninger. Standarder og compliance Der findes en række sektorspecifikke standarder, som virksomhederne indenfor sektoren, skal være i compliance med. 8
IoT-sikkerhed 2 Common Criteria certificering Virksomheden skal overveje om den ønsker en Common Criteria certificering, som har til formål at demonstrere at softwaren er sikker fordi den efterlever nogle på forhånd definerede sikkerhedsfunktionaliteter. Patch management Virksomheden bør sikre, at de intelligente produkter løbende kan opdateres i takt med at der opdages fejl i softwaren. Life cycle management Virksomheden bør tænke på, hvordan man kan skabe sikkerhed i hele det intelligente produkts livscyklus. Afhængighed af eksterne leverandører Virksomheden skal gøre sig klart, i hvilket omfang de er afhængige af eksterne leverandører og stille sikkerhedsmæssige krav til disse. Følg med i trusselsbilledet Virksomheden bør følge med i trusselsbilledet og identificere, hvilke nye metoder hackere tager i brug for at få adgang til virksomhedens produkter eller tilsvarende produkter. 9
IoT-sikkerhed 3 Forsikring Virksomheden bør undersøge om den kan forsikre sig mod den sikkerhedsmæssige risiko, som der ikke kan gøres noget ved. Håndtering af henvendelser vedrørende kompromittering Virksomheden bør have en proces på plads til at håndtere henvendelser, der drejer sig om sikkerhed i produkterne. Udviklingsprocessen Virksomhederne bør sikre sig, at udviklingsprocessen på bedst mulig måde bidrager til at designe sikkerhed ind i produktet fra starten af. Programmeringsfejl Virksomhederne bør være særligt opmærksomme på og lære af de kendte fejl, der typisk opstår i programmeringsprocessen. Penetrations- og sårbarhedstests Virksomhederne bør for at identificere mulige sårbarheder teste sikkerheden i deres intelligente produkter og angribe det udefra, som om de selv var hackere. 10
IoT-sikkerhed 4 Adgangsstyring Virksomhederne bør styre hvem der kan få adgang til hvilken funktionalitet hvorfra i de intelligente produkter. Klassiske sikkerhedstiltag Virksomhederne bør overveje om det kan betale sig at installere små sikkerhedspakker på produktet, som man kender det fra fra PC'er, tablets og SmartPhones. Whitelists og blacklists Virksomheden bør overveje om de af sikkerhedsmæssige årsagen skal begrænse adgangen til det intelligente produkt gennem white- og blacklists. Segmenter og zoner Virksomheden bør overveje, om det intelligente produkt bør placeres på sit eget segment på netværket. Udveksling af nøgler Virksomheden bør overveje om kommunikation med det intelligente produkt bør sikres gennem lokal parring og udveksling af nøgler mellem trustede apparater. 11
IoT-sikkerhed 5 Kryptering Virksomheden bør overvejes i hvilket omfang autentifikation, data og kommunikation bør krypteres. Produktets sikkerhedstilstand Virksomheden bør overveje om det intelligente produkt skal kunne rapportere sin egen sikkerhedstilstand til de trustede apparater, som kommunikerer med det. Ubrugt funktionalitet Virksomheden bør overveje om komponenters overskudskapacitet bør utilgængeliggøres. Separation af services Virksomheden skal overveje, om man kan forbedre det intelligente produkts sikkerhed ved at separere nogle af de services, som kører i produktet, således at de ikke kan kommunikere med hinanden. Brug professionelle leverandører Professionelle leverandører har dedikere kompetencer, opdateret viden og er uafhængige. 12
Kontakt hem@di.dk 13