Hva er IoT-sikkerhet?
Sikkerhet for Tingenes Internett omfatter å beskytte Internett-enheter og nettverkene de kobler til mot trusler og innbrudd på nettet. Dette oppnås ved å identifisere, overvåke og adressere potensielle sikkerhetssårbarheter på tvers av enheter. IoT-sikkerhet er helt enkelt praksisen som holder IoT-systemer trygge.
Hvorfor er IoT-sikkerhet viktig?
IoT handler ikke bare om datamaskiner eller smarttelefoner – nesten alt som har en av/på-bryter kan potensielt kobles til Internett, noe som gjør det til en del av Tingenes Internett. Selve volumet og mangfoldet av «ting» som utgjør IoT betyr at det inneholder en betydelig mengde brukerdata. Alle disse dataene har potensiale til å bli stjålet eller hacket av nettkriminelle. Jo flere tilkoblede enheter, jo flere muligheter har nettkriminelle til å kompromittere sikkerheten din. Les mer om hvordan Tingenes Internett fungerer her.
Konsekvensene av IoT-sikkerhetsbrudd kan være svært skadelige. Dette er fordi Tingenes Internett påvirker både virtuelle og fysiske systemer. Tenk for eksempel på en smartbil koblet til Internett – nettkriminelle kan hacke den for å deaktivere visse sikkerhetsfunksjoner. Etter hvert som IoT blir mer utbredt i industrien – derav begrepet IIoT eller Tingenes Internett for industri – kan cyberangrep utløse en rekke potensielt ødeleggende konsekvenser. Tilsvarende kan enheter i helsevesenet – der begrepet IoMT eller Tingenes Internett for medisin brukes – avsløre sensitive pasientdata eller til og med kompromittere pasientsikkerheten. I smarte hjem kan kompromitterte enheter la kriminelle overvåke folks hjem.
Sikkerhetsutfordringer for IoT
Utfordringer for IoT og viktige IoT-sikkerhetsproblemer omfatter følgende:
Mangel på testing og utvikling
Noen IoT-produsenter har behandlet sikkerhet som en ettertanke i deres hastverk med å bringe produkter til markedet. Enhetsrelaterte sikkerhetsrisikoer kan ha blitt oversett i utviklingsprosessen, og når de først er lansert, kan det være mangel på sikkerhetsoppdateringer. Men etter hvert som bevisstheten om IoT-sikkerhet har vokst, har også enhetssikkerhet økt.
Standard passord som fører til brute-forcing
Mange IoT-enheter kommer med standardpassord, og disse er ofte svake. Kunder som kjøper dem er kanskje ikke klar over at de kan (og bør) endre dem. Svake passord og påloggingsdetaljer gjør IoT-enheter sårbare for passordhacking og brute-forcing.
Skadelig programvare og løsepengevirus for IoT
Gitt den betydelige økningen i IoT-tilkoblede enheter de siste årene – som er spådd å fortsette – har risikoen for skadelig programvare og løsepengevirus som utnytter dem økt. Skadelig botnet-programvare for IoT har vært blant de vanligste variantene.
Datapersonvernproblemer
IoT-enheter samler inn, overfører, lagrer og behandler et stort utvalg brukerdata. Disse dataene kan ofte deles med eller selges til tredjeparter. Mens brukere vanligvis godtar vilkårene for bruk før de bruker IoT-enheter, er det mange som ikke leser vilkårene. Det betyr at det ikke alltid er tydelig for brukerne hvordan dataene deres kan brukes.
Eskalerte nettangrep
Infiserte IoT-enheter kan brukes til DDoS-angrep (Distributed Denial of Service). Det innebærer at kaprede enheter brukes som en angrepsbase for å infisere flere maskiner eller skjule skadelig aktivitet. DDoS-angrep på IoT-enheter rammer stort sett organisasjoner, men de kan også rette seg mot smarte hjem.
Usikre grensesnitt
Vanlige grensesnittproblemer som påvirker IoT-enheter inkluderer svak eller ingen kryptering eller utilstrekkelig dataautentisering.
Fremveksten av hjemmekontor
Etter Covid-19-pandemien har hjemmekontor blitt vanligere rundt om i verden. IoT-enheter har hjulpet mange brukere til å jobbe hjemmefra, men hjemmenettverk mangler ofte sikkerheten til organisasjonsnettverk. Den økte bruken har fremhevet sårbarheter i IoT-sikkerheten.
Komplekse miljøer
Forskning viser at i 2020 hadde den gjennomsnittlige husholdningen i USA tilgang til 10 tilkoblede enheter. Alt som trengs er én oversett sikkerhetsfeilkonfigurasjon på én enkelt enhet for å sette hele husholdningsnettverket i fare.
Eksempler på sikkerhetsbrudd for IoT
Det finnes kjente eksempler på at IoT-enheter har blitt kompromittert av nettkriminelle de siste årene. Disse omfatter følgende:
2016: Mirai botnet-angrepet
I 2016 ble hundretusenvis av kompromitterte tilkoblede enheter trukket inn i et botnett kalt Mirai. Et botnet er et datamaskinnettverk som har blitt infisert av skadelig programvare for å utføre automatiske oppgaver på Internett uten at eieren av datamaskinen vet om eller tillater det. Som et resultat av Mirai-angrepet ble store tjenester og nettsteder som Spotify, Netflix og PayPal midlertidig stengt.
2018: skadeprogrammet VPNFilter
I 2018 infiserte skadeprogrammet VPNFilter over en halv million rutere i over 50 land. Skadeprogrammet VNPFilter kan installere skadelig programvare på enheter koblet til ruteren din, som samler inn informasjon som passerer gjennom, blokkerer nettverkstrafikk og stjeler passord.
2020: Tesla Model X hacket
En cybersikkerhetsekspert hacket en Tesla Model X på mindre enn to minutter ved å utnytte en Bluetooth-sårbarhet. Andre biler som er avhengige av trådløse nøkler for å åpne og starte har opplevd lignende angrep.
2021: Verkada kamerafeeder hacket
Verkada er et sikkerhetskamerafirma. I 2021 kompromitterte sveitsiske hackere 150 000 av livekamerafeedene deres. Dette var kameraer som overvåket aktivitet inne i offentlige bygninger – som skoler, sykehus, fengsler – og private bedrifter.
Bestepraksis for IoT
Følgende bestepraksis er god å huske på for å sikre enhetssikkerhet og nettverkssikkerhet for IoT:
Hold deg oppdatert med enhets- og programvareoppdateringer
Når du kjøper en IoT-enhet, bør du sjekke at forhandleren tilbyr oppdateringer og at du bruker dem så snart de blir tilgjengelige. Programvareoppdateringer er en viktig faktor i IoT-enhetssikkerhet. Enheter som bruker utdatert IoT-programvare er lettere for hackere å kompromittere. IoT-enheten din kan sende deg automatiske oppdateringer, eller du må kanskje besøke produsentens webområde for å se etter dem.
Endre standardpassord på IoT-enheter
Mange bruker samme brukernavn og passord for alle enheter de bruker. Selv om det er enklere for folk å huske, er det også enklere for nettkriminelle å hacke. Sørg for at hver pålogging er unik og endre alltid standardpassordet på nye enheter. Unngå å bruke det samme passordet på flere enheter.
Bruk sterke passord for alle enheter og wifi-nettverket ditt
Et sterkt passord er langt – består av minst 12 tegn, helst flere – og inneholder en blanding av store og små bokstaver pluss symboler og tall. Unngå det åpenbare, f.eks. etterfølgende tall («1234») eller personopplysninger som kan gjettes av noen som kjenner deg, f.eks. fødselsdato eller navnet på et kjæledyr. Passordbehandling kan hjelpe deg med å ha oversikt over flere passord.
Endre ruterens navn
Hvis du beholder ruternavnet som produsenten har angitt, kan det tillate uvedkommende å identifisere merke eller modell. Gi ruteren et nytt navn i stedet – men pass på at det du velger ikke avslører noen personlige identifikatorer som navn eller adresse.
Bruk en sterk wifi-krypteringsmetode
Bruk av en sterk krypteringsmetode for ruterinnstillingene dine – dvs. WPA2 eller nyere – vil bidra til å holde nettverket og kommunikasjonen sikker. Eldre WPA- eller WEP-versjoner er sårbare for brute force-angrep. Du kan lese mer om WPA-versjoner her.
Konfigurer et gjestenettverk
Hvis ruteren gir deg muligheten, bør du vurdere å opprette et trådløst gjestenettverk, altså bruke WPA 2, beskyttet med et sterkt passord. Bruk dette gjestenettverket for besøkende: venner og familie bruker kanskje enheter som har blitt kompromittert eller infisert med skadelig programvare før de bruker nettverket ditt. Et gjestenettverk bidrar til å styrke hjemmenettverkets sikkerhet.
Sjekk personverninnstillingene for IoT-enhetene dine
IoT-enhetene dine kommer sannsynligvis med standardinnstillinger for personvern og sikkerhet. Det er en god idé å lese gjennom disse og endre innstillingene der det passer for å sikre at de er satt til et nivå du er komfortabel med. På samme måte er det verdt å gjennomgå personvernreglene for å forstå hvordan leverandøren lagrer og bruker personopplysningene dine.
Hold oversikt over tilgjengelige funksjoner på enheten, og deaktiver de ubrukte funksjonene
Kontroller de tilgjengelige funksjonene på enhetene dine, og slå av alle du ikke har tenkt å bruke for å redusere potensielle angrepsmuligheter. Tenk for eksempel på en smartklokke – dens primære formål er å vise tiden. Men den bruker sannsynligv også Bluetooth, Near-Field Communication (NFC), eller stemmeaktivering. Hvis du ikke bruker disse funksjonene, tilbyr de flere måter for en IoT-hacker å bryte seg inn i enheten på, uten ekstra fordel for brukeren. Hvis du deaktiverer disse funksjonene reduserer du risikoen for nettangrep.
Aktiver flerfaktorautentisering der det er mulig
Flerfaktorautentisering (MFA) er en autentiseringsmetode der brukerne går inn på en nettkonto gjennom to eller flere ledd. I stedet for bare å be om et brukernavn eller passord, går flerfaktorautentisering lenger ved å be om tilleggsinformasjon, for eksempel et ekstra engangspassord som nettstedets autentiseringsservere sender til brukerens telefon eller e-postadresse. Hvis smartenhetene dine tilbyr flerfaktorautentisering, bør du bruke det.
Forstå hvilke IoT-enheter som er på hjemmenettverket ditt
Gjennomgå alle enhetene som kommuniserer på tvers av nettverket ditt og forstå hva de gjør. Noen av disse enhetene kan nå være eldre modeller – vurder om oppgradering til nyere enheter kan tilby bedre IoT-sikkerhetsfunksjoner.
Vær forsiktig når du bruker offentlige wifi-nettverk
Du ønsker kanskje å administrere IoT-enhetene dine via mobilenheten din når du er ute og reiser – for eksempel på en kaffebar, kjøpesenter eller flyplass. Det er viktig å være klar over sikkerhetsrisikoen ved bruk av offentlige wifi-nettverk. Du kan for eksempel redusere disse risikoene ved å bruke et VPN.
Ved å være oppmerksom på IoT-sikkerhet og følge bestepraksis for IoT-sikkerhet, er det mulig å minimere risikoer.
Anbefalte produkter
- Kaspersky Anti-Virus
- Kaspersky Total Security
- Kaspersky Internet Security
- Kaspersky Password Manager
- Kaspersky Secure Connection
Flere artikler