Med internetuppkoppling är det möjligt att ge maskiner helt nya erbjudanden bland annat i form av loggning och övervakning, fjärrstyrning och support. I kombination med det är förhållandevis enkelt att implementera och att marknaden ser en stor potential är Internet of Things – IoT – något som får räknas som en megatrend inom samtliga tillverkande branchsegment.
Förståelse för maskinsäkerhet är oftast gedigen hos tillverkare, däremot får många kämpa för att hitta rätt i mjukvarusäkerhet. Från olika håll kommer också rapporter om hur produkter som förmodas ha fullgod säkerhet blir livsfarliga för användaren genom problem med IT-säkerheten.
- Hackers remotely kill a Jeep on the highway—with me in it
- FDA confirms that St. Jude’s cardiac devices can be hacked
Medan det finns stora likheter mellan hur man jobbar IT- och maskinsäkerhet finns det en viktig skillnad som står ut: IT-säkerhet kräver kontinuerligt jobb under produktens hela livslängd.
Modern mjukvaruutveckling bygger till stor del på användande av komponenter från tredje part. Det rör sig till exempel om funktioner för att koppla upp sig mot molnet, webbtjänster, loggning, AI och inte minst operativsystemet självt. Eftersom dessa komponenter är komplexa är det inte rimligt att tillverkare bygger dessa själva.
Men just på grund av komplexiteten är det mycket vanligt att fel upptäcks i komponenterna, varav vissa fel kan utnyttjas av en angripare för att skada systemet. I skrivande stund har det rapporterats 978 kända sårbarheter under januari månad 2019. Till exempel: Om din applikation hanterar XML bör du omgående ta en titt på den här sårbarheten i det omåttligt populära libbet Jackson.
Maskintillverkare som ger sig in i IoT-världen bör därför anta att det är en tidsfråga innan produkterna innehåller kända sårbarheter som vem som helst med rätt kunskap kan missbruka produkten för att skada person eller egendom.
Slutsatsen är att tillverkare behöver förmågan att upptäcka och patcha sårbarheter samt uppdatera sålda produkter under hela livscykeln:
- Beredskap för att upptäcka kända fel
- Beredskap för att korrigera och regressionstesta produkter
- Förmåga att säkert skicka uppdateringar till samtliga berörda enheter
Kontakta oss för att få veta mer om hur IT- och maskinsäkerhet hänger ihop och hur man kan utnyttja potentialen i IoT på ett säkert sätt!
Markus Örebrand
Konsult på Omegapoint AB i Umeå inom områdena systemutveckling och säkerhet. Markus är även samordnare för säkerhetsnätverket OWASP North Sweden. Kommentera gärna artikeln eller kontakta mig via Zatisfy!