Sikkerhetsutvalg peker på den nettoppkoblede leke-elefanten i rommet
REFLEKSJONER: Får IKT-sikkerhetsutvalget vilja si, blir det enklere å være digitalt sikker som forbruker.
GODE POENGER: IKT-sikkerhetsutvalget har utgitt ut en rapport som er artig lesning for byråkratinerder og datenerder, men det er også et viktig punkt for vanlige forbrukere i rapporten. På bildet: justis- og beredskapsminister Tor Mikkel Wara mottar rapporten fra skattedirektør og utlvagsleder Hans Christian Holte.
Leif Martin Kirknes
leif.kirknes@lomedia.no
På kroppen: mobiltelefon, smartklokke med pulssensor, kanskje en pacemaker, trådløse hodetelefoner og smartjoggesko som sjekker vekt og helsestatus for hvert skritt. Snapchat-briller så du alltid er klar til å knipse løs.
I hjemmet: dørlås koblet opp mot app på mobiltelefonen, røykvarsler som varsler direkte til mobilen, nettoppkoblet overvåkningskamera som slår seg av når du går inn i huset, komfyr og vaskemaskin som kan styres av en app, smartgardiner, smartlekene til barna som er nettoppkoblet og utrustet med kamera og mikrofon, samt kaffemaskin styrt med app.
Utenfor huset: en høyteknologisk elbil. Alle tenkelige funksjoner kan egentlig styres fra en app, til og med kan den parkere automatisk ved et tastetrykk - som betyr at en eller annen programvaresnutt har tilgang til både gass og brems.
I nærmeste krets: den prisbelønte chihuahua Fido har sin egen GPS-sender så du vet hvor han er. Ole (4) og Ada (10) har også GPS-sender i sine smartklokker. Det har også demente gamlemor Kari (86), som i tillegg har en vel av medisinske sensorer og utstyr hjemme som kommunens helsevesen bruker.
I nattemørket skinner det fint fra kommunens lyktestolper som fjernstyres fra en driftssentral via telenettet.
Les også: Hjælp, robotane kjem!
Jeg vil ha smartbuksesmekk!
Vi snakker om såkalt tingenes internett, der det meste skal kobles opp på nett. Tenk hvor kjekt det hadde vært hvis buksesmekken selv sa fra med melding direkte til telefonen din om du har glemt å dra den opp. Ingen tvil om at det, i likhet med det overnevnte, er ikke bare kjekt, men kult – selv om man som en digresjon strengt tatt bør ta en prinsipiell og etisk debatt rundt hvorvidt man virkelig skal overvåke alle type mennesker med GPS.
Jeg elsker dingser. Og internett, hvor jeg har bodd og fulgt den spennende utviklingen siden midten av 90-tallet, da man måtte ringe det opp og betale tellerskritt for å koble seg på. Jaggu dertil, sammen er de dynamitt! Men så finnes det både positive og negative sider ved dynamitt. Når det gjelder nettoppkoblede dingser er den positive siden at det er praktisk, kult, beleilig og fantastisk. På den negative siden følger det med en hel rekke sikkerhetsspørsmål på kjøpet. Mens forbrukere ikke nødvendigvis er sikkerhetseksperter.
Les også: Telenor og Cyberforsvaret skal samarbeide om IT-sikkerhet
Bugs
Først skal dingsene produseres. Vi får for enkelhetsskyld i denne historien ta utgangspunkt i at både selskapet som har laget produktet og fabrikken som har produsert det begge har rent mel i posen. Men likevel er dingsene gjerne programmert. Og alle programmerere kan gjøre feil, og det kan få konsekvenser for sikkerheten.
Hvis vi i et kort banalt øyeblikk sammenligner det å programmere med å bygge et hus, kan det for eksempel hende man i et anfall av dårlig risikovurdering eller bare sløvhet utrustet den ellers solide døra med en spinkel hengelås. I så fall er det en enkel sak for tjuvradder å komme inn.
I programvareverden kalles dette gjerne «bugs» og dataskurker jakter i all hovedsak på slike for å få satt i gang sine skurkestreker. Så om skurkene finner et sikkerhetshull, er det fare på ferde. Det finnes til og med skurker som selger informasjon om dårlig sikkerhet og fedig sydde angrepsprogrammer til andre ikke-så tekniske skurker.
Men heldigvis så finnes det også en bransje med vektere. Noen av dem jakter selv etter hull i håp om å slå skurkene i forkjøpet, andre jakter på spor av ugler i mosen og agerer deretter. Skurker og vektere er i et konstant kappløp.
Les også: Savner det klassiske IT-driftsfaget
Fryktelig mange dingser
Problemene kan fikses hvis vekterne finner ut om dem. Programmererne kan justere på programmet sitt så den nevnte døra får en mer solid lås.
Men ikke alle husprodusenter kommer kjørende bort med ny lås og bytter for deg. For mange produsenter er det sånn at der er ditt ansvar å gå til produsenten for å installere denne nye, utbedrede låsen. I tillegg kan produsenten gå konkurs eller bare ikke gidde å oppdatere programvare lenger fordi de har lansert et nytt og kulere produkt.
Dette ville vært greit å håndtere hvis man bare hadde ett hus der man måtte følge med på slikt. Men det er klart det blir problematisk, selv for de som er bevisst på denne typen sikkerhetsproblemer, når man simultant må følge med på programvareoppdateringer for mobiltelefon, klokker, røykvarsler, dørlåser, wifi-routere, biler, leker, lyktestolper, pacemakere, gardiner, oppvaskmaskiner og masse mer.
Og da har vi ikke nevnt at det også finnes noe som heter «firmware», en maskinvarekode som ligger i fundamentet av teknologiske produkter, der det også kan finnes «bugs» som tidvis må oppdateres for å være sikre. Når oppdaterte du sist «firmware» på din wifi-router?
Les også: Full fart mot tingenes internett
Noen tankekors
Sånn helt konkret og lett-forståelig vil fremtidens «fysiske» innbruddstyver dra fordel av å følge med på programvaren til dørlåser, der de kan komme seg inn i huset til folk og nappe gullkjeder. Det er sikkert også en slant å tjene på å kidnappe Fido, som for skurkene er lett å finne med sin GPS-sender.
Men rene cyberskurker har også potensial til å være utrivelige. Hvis det bare er en cyberbølle kan vedkommende kanskje slå på komfyren din mens du er borte – i beste fall får du høyere strømregning og i verste fall brenner huset ned. Og tenk deg hvor kjipt det ville vært om du hverken kom inn i bil eller hjem uten å knuse ruter med mindre du betalte ut løsepenger til en hackergruppe.
Et mer alvorlig faremoment kan være en kynisk hardbarket kriminell som tjener penger på folk med seksuelle preferanser vi overhodet ikke aksepterer, og som vil selge filmer tatt opp av den smartbamsen med kamera som egentlig er ment for at bestemor skal kunne se poden på Skype. (Blant annet i den konteksten er det litt utstrakt sett ikke ideelt at Ola og Ada til enhver tid har GPS-sendere som viser hvor de er (skjønt min GPS-sporingsmistro i første innstans er av mer prinsipiell art.))
Samfunnstrøbbel
For den saks skyld kan et land eller en terrororganisasjon som vil skape kaos og frykt i samfunnet, og som derfor angriper mange ting på likt, gjøre alt fra å slukke kommunens gatelys til å krasje alle landets app-styrte biler – eller forstyrre mobil og GPS-signaler over hele landet, hvorpå hverdagslivet ville blitt fryktelig komplisert for de fleste og særlig de som har medisinsk utstyr som er avhengig av mobilnettet.
Les også: Dekningsdirektør ber kommuner føre oversikt over sine automatiserte tjenester
Man skal ikke kimse av lekkasje av mer generell data heller. Hvis cocktailen av data blir stor nok, blir det mulig å manipulere folk. Enten til å bruke penger på ting du egentlig ikke ville bruke penger på, og dette er for så vidt slik internett er i dag, men det ville blitt mer treffsikkert med mer data. Eller til å manipulere velgere på vippen og på gjerdet til å gå til urnene og stemme i den favør man vil ha dem. For den saks skyld er det også lett å se for seg at selskaper som selger livsforsikring godt kunne tenke seg å få fatt på puls-dataene fra smartklokkene til folk. Det er potensielt lite lukrativt å forsikre folk med slapp helse.
Regler for produsenter
Det nylig lanserte dokumentet NOU2018:14 om «IKT-sikkerhet i alle ledd» har mye snacks å by på for byråkrater og datanerder, men forbrukere som ikke er så engasjert i slike detaljer kan glede seg med at problemstillingen med tingenes internetts kaotiske tilværelse også adressers.
Utvalget som har hatt som oppdrag å drøfte organisering og regulering av nasjonal IKT-sikkerhet, ønsker å tydelig få plassert ansvaret for tilkoblede produkter og tjenester. Området er altfor svakt regulert i dag, mener utvalget, som vil at ansvaret i større grad skal flyttes fra forbruker og over til produsenter og leverandører. Litt av bakgrunnen er ikke minst at utvalget også mistenker at sikkerhet kan komme langt ned på den økonomiske prioriteringslista til profitthungrige selskaper som lager dingsene.
Det bør stilles krav til innebygget sikkerhet i produkter og tjenester, mener utvalget, som vil at Norge skal arbeide med internasjonale regler, særlig opp mot EU, samtidig som Datatilsynet, Forbrukertilsynet, Direktoratet for samfunnssikkerhet og beredskap og Nasjonal Kommunikasjonsmyndighet jobber tettere sammen for å forebygge at produkter med dårlig IKT-sikkerhet ikke lanseres her i landet og følge opp produkter som allerede er lansert. Med "innebygget sikkerhet" menes i denne sammenheng helt andre krav enn å bare sette passord "123456".
Les også: Hans Christian Holte, leder for digitalt sikkerhetsutvalg: – Dagens regelverk er mangelfullt
Folk er sløve
Det er et helt suverent forslag som jeg håper effektueres før tingenes internett tar helt av, det vil si «fort».
I tillegg mener jeg den norske IT-sikkerhetsforståelsen der ute i gata må opp. Folk må bli mer bevisste og kritiske. Ikke konspiratoriske, men gjerne litt paranoide. Slutt å klikke på alt du ser! Du får ikke iPhone gratis! Bensinen koster fortsatt rundt 15+ kroner literen! Og er det snodige innlegget du og 29 andre ble tagget i av en venn på Facebook, der han påstår å ha en artig video, virkelig en video?
Det bringer meg inn på: oppdateringer er en problemstilling de fleste som ferdes på internett allerede har en viss kjennskap til. Dårlig oppdatert programvare er roten til mye ondt også her. Så vi får håpe også ren, klassisk programvare blir en del av dette nye, internasjonale regelverket for produsenter og leverandører.
James Bond
PDF-lesere, skrive- og regneprogramvare, nettlesere og epost-programmer er også områder der man må takke ja til oppdateringer. Man risikerer alt fra å spre søppelpost til å få kryptert alle sine data med mulighet for å låse opp kun dersom man betaler løsepenger, fordi man var for lite paranoid i gjerningsøyeblikket og åpnet et pirrende vedlegg eller var innom en uheldig nettside som utnyttet en sårbarhet i nettleseren man ikke gadd å oppdatere fordi man var midt i en skikkelig heftig Youtube-video om hvordan man kan få gratis iPhone.
Les også: EL og IT Forbundet mener lokal IKT-kompetanse er viktig
Jeg kunne også nevnt det mer omfattende Stuxnet-angrepet i denne sammenhengen, men det skal jeg ikke, for da blir denne teksten dobbel så lang. Men jeg håper noen lager en James Bond-film om høyst reelle Stuxnet, som definitivt er en spionthriller-innspilling i Hollywood verdig. Alternativt kan du Google det (men vær kritisk til hva du klikker på av lenker. Alltid.)