Er dine smartprodukter sikre?

Vi omgir oss med stadig flere smarte produkter. Internet of Things (IoT) har blitt et hverdagsbegrep. Men hva innebærer det egentlig at klokker, gressklippere og ovner er oppkoblet til nettet? Hvor bevisste er produsenter og konsumenter på sikkerhetsrisikoen disse produktene kan utgjøre?

Alexander Spottka er sikkerhetstester for Watchcoms majoritetseier, Combitech og forklarer hvordan han bistår kunder med å sikre sine smartprodukter. 

Hvorfor er det viktig at vi sikrer våre smartprodukter?

Det finnes mange grunner til dette. For privatpersoner kan det handle om å forhindre å få sitt passord hacket og dermed redusere risikoen for å bli utsatt for et identitetstyveri. På et samfunnsmessig plan kan det for eksempel handle om å forhindre at hackere tar seg inn i smarte togsystem.

Hva gjør du som sikkerhetstester?

Som sikkerhetstester gjør vi det hackerne ville gjort om vi ikke kom dem i forkjøpet. Enkelt forklart undersøker vi om et produkt sender informasjon som vi ikke hadde regnet med at den skulle sende. Kan vi gå inn og endre passord, flytte på bilder eller liknende, så betyr det at andre også kan det. 

Et vanlig oppdrag, hvor vi for eksempel tester en smartklokke, starter med at vi leter på nettet etter informasjon om klokken og dens system. Dette er informasjon som er tilgjengelig for alle. Klokkene kommuniserer via protokoll og sender informasjon til skyen via internett. Etterpå går vi inn og studerer dataen som sendes og om det finnes noe interessant der. I verste fall er ikke informasjonen kryptert, som gjør at vi enkelt kan lese den. Dette er enkelt å teste og derfor ofte første steg i sikkerhetstestingen. Etter vi har studert informasjonen, benytter vi ulike metoder avhengig av hvilket produkt vi tester. 

Eksempler på andre typiske sikkerhetsfeller er produkter med forhåndsinnstilte apper. En app som du tror er Facebook kan i virkeligheten være en modifisert versjon av appen som kontinuerlig sender informasjon. I dag finnes det mange ulike merker av blant annet smartklokker, og i mange tilfeller kjenner vi ikke produsenten bak disse produktene. 

Hva gjør dere dersom dere finner et sikkerhetshull?

Om vi oppdager en svakhet i systemet gjør vi en vurdering av hvor sannsynlig det er at noen klarer å utnytte dette sikkerhetshullet. Vi foreslår sikkerhetstiltak til kunden og hjelper også ofte med å iverksette disse. Etter at tiltakene er fullført, gjør vi vanligvis en ny sikkerhetstest. Både for å se at tiltaket har hatt ønsket effekt, men også for å finne ytterligere sikkerhetshull.

Hvilke typer produkter tester dere og for hvem?

Vi besitter en bred kunnskap og kan teste produkter fra mange ulike bransjer, alt fra kritisk infrastruktur til IoT-dingser. Det kan være fremtidens bussystem, en smart klokke eller en oppkoblet ovn. Det er som regel produsenter som ønsker å teste sine produkter før de lanserer dem på markedet. Vi jobber alltid i nært samarbeid med kunden, som er ekspert på akkurat sitt produkt. Sammen kartlegger vi produktets system og finner eventuelle sikkerhetshull. 

Har dere sett noen endring i produktene dere tester?

Da vi startet med sikkerhetstesting i Combitech for over 20 år siden var den generelle sikkerheten til produktene veldig lav. Men produsentene har gjennom årene blitt bedre og bedre på å lage sikre produkter. Sluttkonsumentene derimot er generelt fremdeles ganske uvitende om hva disse sikkerhetshullene kan innebære for dem. 

Ønsker du å teste sikkerheten til dine smartprodukter? Les mer om Watchcoms sikkerhetstesting eller send oss en mail