Digitalisering

Lista: Här är industrins vanligaste it-säkerhetsmissar

Robert Malmgren driver firman Romab, och har en 20-årig yrkeserfarenhet av cybersäkerhet. Foto: Lars 'Mårre' Mårelius.
Robert Malmgren driver firman Romab, och har en 20-årig yrkeserfarenhet av cybersäkerhet. Foto: Lars "Mårre" Mårelius.

Hackade fabriker och kapade maskiner – experten Robert Malmgren förutspår en ökning av it-incidenter inom industrin. Men det går att stävja utvecklingen, menar han.

Publicerad

Uppvärmningssystem, kraftverk och tekniska system hos banker. Allt syns som punkter i olika färger på en världskarta i sökmotorn Shodan.

Varje röd punkt på kartan visar uppkopplade apparater som är öppna för angripare, på grund av säkerhetsbrister.

Klustren med röda prickar är många – och oroväckande stora.

Shodan är inget nytt verktyg. Men när säkerhetsexpertern Robert Malmgren visade det på Ny Teknik-konferensen ”Industrial internet of things” tidigare i veckan, hördes uppgivna suckar från publiken.

Världskartan ger nämligen en smärtsamt tydlig bild av utmaningen som industrin står inför när det gäller uppkopplade maskiner och bristande cybersäkerhet.

Robert Malmgren ger en dyster prognos inför framtiden.

- Vi kommer att se fler fall med uppseendeväckande it-incidenter – attacker som till och med kan leda till att människor skadas. Bara för några veckor sedan slogs säkerhetssystemen på ett kraftverk i Mellanöstern ut med sabotageprogrammet Triton, till exempel.

Hur blev det så här? För Ny Teknik listar Robert Malmgren några av de vanligaste missarna som branschen gör.

# Många försummar cybersäkerhet, till förmån för snabba utrullningar av iot-satsningar.

- Man ser data som det nya guldet. Det är där de nya affärsmodellerna finns. Jag förstår den drivkraften. Problemet är att många försöker sig på att springa utan att först lära sig krypa, säger Robert Malmgren.

# Man missar den grundläggande analysen. Måste man verkligen koppla upp vissa typer av enheter? Hur skyddar man data som samlas in? Behöver man bygga hybridlösningar?

- Ibland är svaret ja, men ibland är det nej – vi har för mycket att riskera. Om man har en uppkopplad sensor som skickar hem data till dina servrar skapas helt nya attackytor för angriparna, vilket många missar. Mirai och Reaper är exempel på virus som använts för att bygga upp botnät med kapade iot-prylar.

# Vissa leverantörer av hård- och programvara tar inte it-säkerhet på tillräckligt stort allvar.

- Vi ser fortfarande att iot-prylar kan levereras med hårdkodade lösenord och kryptonycklar som gör det möjligt att använda ”admin/admin” som lösenord. Ett annat problem är att det saknas ett livstidstänk – det går inte att uppdatera prylarna med ny säkerhetsprogramvara.

-  Många prylar eller komponenter som finns i automationslösningar, inklusive IIoT, har numera inbyggda webbservrar för admnistration eller fjärrinloggningsmöjligheter. Detta i sig är en hel mängd säkerhetsproblem, med standardlösenord, vanliga programmeringsfel i webbtjänster och liknande.

# Programmerare tar genvägar, vilket resulterar i bräcklig programvara.

- Ett problem i dag är att en del utvecklare vänder sig till populära forum som Stack Overflow med frågor som gäller Python eller Javascript. Man klistrar sedan in färdig kod som inte har feltestats i det egna systemet. Det gör att folk kan bygga in brister och beroenden i programvaran som man inte är medvetna om.

# Undermåligt skydd av kommunikationen mellan olika delar av företagsnätverket.

- Det kan handla om missar i säkerheten kring backend-servrar, eller företagsappar som hackare kan ladda ner och dissekera i jakten efter svagheter och möjligheter att injicera skadlig kod.

Det är lätt att bli pessimistisk. Är slaget mot hackarna förlorat?

- Det går aldrig att bygga helt säkra system. Det viktigaste är i stället att sprida kunskapen om cybersäkerhet. Det måste vara en fråga som ledningsgrupperna tar på allvar, och som företagen jobbar aktivt med. En annan utveckling är att vi ser fler och fler tjänster och produkter som erbjuder säkerhet för iot-produkter. På sikt tror jag att läget kan förbättras, säger Robert Malmgren.

5 åtgärder för bättre cybersäkerhet i industrin

# Ställ hårdare krav på leverantörerna när det gäller grundläggande skydd för iot-prylar.

# Se till att hårdvaran som installeras går att uppdatera med ny säkerhetsprogramvara.

# Jobba med säkerhetskulturen på företagen, och kunskapen sprids i alla delar av organisationen. Se till att dokumentera hur ni jobbar med it-säkerhetsrutiner, exempelvis.

# Se till att det finns en spårbarhet i systemen. På så sätt kan ni gå tillbaka i loggarna för att se vad som orsakade ett fel.

# Använd hjälpmedel som Enisas ”Baseline Security Recommendations for IoT” för att bygga upp ett grundläggande säkerhetskydd.

Källa: Robert Malmgren, Romab.