Idag rapporterar Sveriges Radio om en ny granskning. Ekot-redaktionen har med hjälp av bland annat sökmotorn Shodan hittat över 7000 uppkopplade system med säkerhetsbrister. I mer än en sjundedel av fallen krävdes det inte ens något lösenord för att kontrollera systemen. Detta uppger Ekot på sin webbplats.
Tyvärr är detta inga nyheter. Det kan låta hemskt att allt från fjärrvärmesystem till tankstationer har så dålig säkerhet, men så har det varit länge. Problemet beror dels på kompetensbrist och dels säkerhetens värsta fiende: standardinställningen.
Standardinställningen är den inställning som vi inte funderar över. När vi har installerat något och allt fungerar reflekterar vi inte över vilka inställningar som är valda. Hur ofta har vi inte tryckt ”nästa”, ”nästa”, ”nästa” under installationen av ett program på datorn? Detta beteende är förrädiskt. Om vi inte har kompetensen att förstå alla säkerhetsaspekter har vi ingen anledning att misstänka när något är fel. Ett klassiskt exempel på detta är billiga övervakningskameror som inte går via någon molntjänst. När en person som saknar tillräcklig säkerhetskompetens installerar en sådan följer han eller hon troligtvis bara instruktionerna. Slutresultatet blir alltför ofta en uppkopplad övervakningskamera med standardlösenord som direktexponeras mot internet.
Vi kommer aldrig kunna utbilda alla personer till att bli experter på varenda produkt de installerar. Produkttillverkarna måste därför sluta acceptera dåligt konfigurerad säkerhet som standard. De måste guida användarna till en säker standardinstallation i stället för till den allra enklaste installationen. Detta gäller både produkttillverkare av konsumentprodukter och industriprodukter.
Självfallet måste även installatörerna av uppkopplade industriprodukter ta sitt ansvar. Då syftar jag inte enbart på ansvaret under installationen (att de har tillräcklig säkerhetskompetens för att förstå hur de konfigurerar systemen) men också att de informerar om underhållsbehovet. Ett uppkopplat system är ett system som är i behov av underhåll. Underhåll är inte gratis och det måste därför tas med i kostnadsberäkningarna redan från dag ett.
Avslutningsvis: är du osäker på om en uppkopplad produkt eller ett uppkopplat system är säkert konfigurerat? Kontrollera att du inte använder standardlösenordet och sätt en router med VPN-stöd mellan internetanslutningen och produkten (d.v.s. koppla inte produkten direkt till internet). En guide för att konfigurera åtkomst till säkerhetskritiska system via VPN kommer i boken Internetprotokollet (våren 2018).
Bonustips (via Robert Malmgren): Vill du leka med sökmotorn Shodan? Precis som Google söker efter webbplatser, söker Shodan efter uppkopplade produkter och system. På fredag (Black Friday) kommer Shodan att ha ett kampanjpris.
@shodanhq 2017-11-21
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.