IT I ALTING SIKKERHED I INGENTING? Identity Architect, Ph.d Gert Læssøe Mikkelsen Gert.l.Mikkelsen@Alexandra.dk
ALEXANDRA INSTITUTTET A/S Almennyttigt anvendelsorienteret forskning fokus på IT GTS Godkendt Teknologisk Service (1 af 9 GTSinstitutter i DK) Ca. 100 ansatte generating R&D Researchers Providers Users Commercial Development Consultancy Ideation Networks Dissemination 04-11-2015 Side 2 inspiration
SECURITY LAB Forskningsprojekter Kommercielle opgaver IoT Identitet på nettet i et globalt perspectiv IT i alting, Sikkerhed i ingenting? 04-11-2015 Side 3
IT I ALTING SIKKERHED I INGENTING?
04-11-2015 Side 5
04-11-2015 Side 6 WIRED Magazine
TESLA HACK 04-11-2015 Side 7
HACKER GOD ELLER OND? Henvendelser vedr. kompromitteringer. Dem der finder sikkerhedsproblemer i IoT-produkter enten: Fortæller om det Holder det hemmeligt Kan give økonomisk gevinst for dem ikke jer 04-11-2015 Side 8
PATCH MANAGEMENT HAV EN PLAN B Plan A: Lav et produkt uden sikkerhedshuller Plan B: Når nogen har fundet et sikkerhedshul i jeres produkt Så hav en plan for at kunne opdaterer Support: hvor længe? Indtil kunden har købt det? 2 år? 10 år? 20 år? 04-11-2015 Side 9
DISKUSSION Hvilke IoT/Smarte produkter har I derhjemme? Hvilke overvejelser omkring sikkerhed har I haft omkring disse? Har I valgt et produkt til eller fra pga. sikkerhed? 04-11-2015 Side 10
FORSKELLIGE TYPER TRUSLER Safety liv og helbred Privacy Datalæk fra produktet Datalæk fra apps Datalæk fra backend Produktet holder op med at virke Økonomisk incitament Adgang til andre systemer 04-11-2015 Side 11
ADGANGSKONTROL Både på produktet, backend, apps osv. Passwords er altid et problem Default passwords er endnu værre Større problemer når produkter/services kobles sammen 04-11-2015 Side 12
OPFIND IKKE JERES EGEN SIKKERHED! WPS WI-FI Protected Setup OSGP Open Smart Grid Protocol Dumb Crypto in Smart Grids 2015 Brug ordentlige standarder, metoder og biblioteker til sikkerhedskritiske dele. 04-11-2015 Side 15
BRUG DE RIGTIGE VÆRKTØJER - KRYPTO ER SVÆRT Kryptografi kan være svært at bruge rigtigt! The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software 2012 Nøgle håndtering! 04-11-2015 Side 16
EKSTERNE LEVERANDØRER HARDWARE OG SOFTWARE Sikkerhed? Kan HW understøtte kryptografi? Kraftig nok Tilgang til ordentligt tilfældighed vigtigt for kryptografi Stort problem for embeddede systemer bla. routere Er der support/sikkerhedsopdateringer i hele jeres produkts levetid? Eller kan I skifte leverandør? 04-11-2015 Side 17
SECURITY BY DESIGN Sikkerhed er ikke en add-on feature der klisters på til sidst Sikkerhed skal tænkes ind fra starten af designfasen Privacy by design Ser ud til at komme med i den nye EU Persondata forordning Desværre nok mest relevant (juridisk) i en evt. backend. 04-11-2015 Side 18
DISKUSSION Hvem har ansvaret for sikkerheden i IoT/Smarte produkter? Hvordan sikre vi at de tager dette ansvar på sig? 04-11-2015 Side 19
KRITISK INFRASTRUKTUR FX CHPCOM Mål: standardisere kommunikation i EL-nettet især omkring decentrale kraftvarmeværker. Fleksibilitet Nemmere administration Maskinadgang til nye data Lavere omkostning ved at skifte samarbejdspartnere. Osv. Fandt ud af at sikkerhed var vigtigt at få med. 04-11-2015 Side 20
CHPCOM Outside the power plant Inside the power plant Internettet! 04-11-2015 Side 21
CHPCOM Hjørnesten i PKI CA Certificate Authority Talking to strangers! Tillid baseret på? Outside the power plant Inside the power plant 04-11-2015 Side 22
CHPCOM Hærdning Nye bokse mod internettet Kommunikation Kryptografi RBAC PKI Setup/skalerbart PKI RBAC Outside the power plant Inside the power plant 04-11-2015 Side 23
DISKUSSION Hvordan har I det med at kritisk infrastruktur kommer på internettet? Hvordan sikre vi at vi som samfund er klar til dette (ikke kun teknisk). 04-11-2015 Side 24
IT-SIKKERHED - RISIKOVURDERING Fortrolighed Integritet (autenticitet) Tilgængelighed Sikker computer - en der Sikkert produkt - et der ikke ikke er på nettet?! er på nettet?! Perfekt sikkerhed findes ikke, hvad så? Cost/benefit! Hvordan? 04-11-2015 Side 25
RISIKOVURDERINGSPROCES. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) 04-11-2015 Side 26
RISIKOVURDERING Impact Likelihood Very low Low Medium High Very high very low 2 3 4 5 6 low 3 4 5 6 7 medium 4 5 6 7 8 high 5 6 7 8 9 very high 6 7 8 9 10 The Risk Level: Low Medium High
HVILKE ASSETS? Assets er ikke kun data Det kan også være konfiguration Problemer med SSL validering Problemet: Lækkede google login kontooplysninger. 04-11-2015 Side 28
GUIDES/BEST PRACTICE Flere gode vejledninger er på vej. Securing Smart Home Environments, Good practices and recommendations - Enisa rapport november 2015. OWASP Internet of Things Project (DRAFT) OWASP andre guides IoT Trust Framework - Security, Privacy & Sustainability (DRAFT) Online Trust Alliance Der er flere på vej. Måske er der standarder/compliance indenfor jeres felt. 04-11-2015 Side 29
BABY ALARMER Video det er en god ide Internet det er en god ide Rapid 7 har undersøgt IoT babyalarmer og fandt problemer i 8 produkter Mangelfuld autentifikation på produktet og backend Manglende kryptering Default passwords Én producent (Philips) reagerede på henvendelserne 04-11-2015 Side 30
VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Gode intentioner Fokus på funktionalitet Gammelt hardware på internettet Crowd funding/opstartsvirksomheder/ukendte producenter 04-11-2015 Side 31
VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Vil min nye IoT Smart brandalarm virke hvis der er ild i min WiFi router? 04-11-2015 Side 32
VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Vil min nye IoT Smart brandalarm virke hvis der er ild i min WiFi router? Vil min Smartlås virke, hvis jeg opdatere min smartphone 04-11-2015 Side 33
DANSKE VIRKSOMHEDER ER KENDT FOR KVALITET Danske virksomheder er kendt produkter af høj kvalitet. Lad det være tilfældet med jeres kommende internetopkoblede produkter. Dette er muligt, hvis vi tager sikkerheden seriøst! 04-11-2015 Side 34
04-11-2015 Side 35 Tak for opmærksomheden!