Leder: Sikkerheden i vores elektronik skal strammes op

En ny trussel mod både internettet og private borgere blev i sidste uge udstillet. Mindst en halv million internetforbundne apparater, hovedsageligt webkameraer, blev fjernkontrolleret af hackere. Som en sværm af droner indgik de i et storstilet oversvømmelsesangreb mod en kritisk del af internettet, som driver navneserverne (DNS). Store dele af internettet, herunder populære tjenester som Twitter, Netflix og Spotify, blev spærret for internetbrugere verden over – ikke bare ejerne af de anvendte apparater.

Truslen fra alle de apparater, vi har koblet til internettet, skal tages alvorligt. Det var tredje gang inden for en måned, at hackere fjernstyrede et såkaldt botnet til at gennemføre angreb af hidtil usete dimensioner. Hackergruppen, som tog ansvaret, betragter det endda kun som en lille demonstration.

Angrebet fik den kinesiske elektronikproducent Xiongmai til at tilbagekalde sine produkter. Elendig password-beskyttelse på kameraer og netværksharddiske bød hackerne inden for. Ganske symptomatisk skete tilbagekaldelsen dog kun i USA og ikke her i Europa.

Årsagen er enkel: Beskyttelsen af de europæiske forbrugere er forældet, mens der altid er frygt for sagsanlæg på den anden side af Atlanten. Når vi herhjemme køber netværksharddisk, smart-tv, webkamera eller et andet stykke elektronik, som vi slutter til internettet, har vi krav på, at produktet fungerer i to år. Brænder det sammen, kan vi benytte reklamationsretten til at gå ned i butikken og kræve det udbedret.

Men vi har intet krav på, at vores produkt skal være sikkert. I praksis betyder det, at producenter af alt fra termostater over routere til mobiltelefoner omkostningsfrit kan give pokker i at holde sikkerheden i top. Sikkerhed koster penge og sælger – i hvert fald indtil videre – meget få ekstra produkter.

Konsekvensen er ikke blot, hvad der nu bliver betegnet som dårlig hygiejne på internettet. Når en netværksharddisk eller et kamera kan infiltreres af hackere, går det ikke nødvendigvis ud over ejeren selv, som vi så det i sidste uge. Men pivåbne harddiske og kameraer giver imidlertid også hackerne adgang til at se filer, sende video fra stuen ud på nettet 24/7 og en smutvej til endnu mere følsomme data på hjemmenetværket.

Internet of Things består allerede nu af mere end seks milliarder apparater. Dertil kommer over en milliard mobiltelefoner med Android- styresystemet. Som vi allerede advarede om for et år siden, bliver hovedparten af dem slet ikke opdateret i takt med, at nye sikkerhedshuller afsløres. Det på trods af, at de fleste af os benytter vores telefoner til at styre både økonomi og andre yderst personlige forhold.

Det er på mere end høje tid, at myndigheder og politikere går sammen om at stramme op. Reklama­tionsretten skal udvides, så producenten i to år har pligt til at holde et internetforbundet produkts it-sikkerhed opdateret. Sværere er det i princippet ikke. Måske får vi diskussioner om, hvordan det defineres og bevises, om et produkt er sikkert og opdateret. Men hellere et krav end dagens situation, hvor producenterne kan lade sikkerheden sejle med stadigt mere uoverskuelige konsekvenser for kunder og brugere.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Men vi har intet krav på, at vores produkt skal være sikkert. I praksis betyder det, at producenter af alt fra termostater over routere til mobiltelefoner omkostningsfrit kan give pokker i at holde sikkerheden i top. Sikkerhed koster penge og sælger – i hvert fald indtil videre – meget få ekstra produkter.

Jeg er 100% enig!

Vi har lovgivning der garanterer vores produkters sikkerhed - men hacking og software sikkerhed, er "undgået" at blive lovgivet om.

Det er på tide, at der gøres noget ved problemet. Indenfor stort set alt andet, har vi detaljerede regler der skal sikre at produkterne er ufarlige og bliver indenfor deres indpakning, og at de ikke kan forstyrre hinanden eller forhindre andre produkters korrekte funktion. Lignende indkapslingskrav bør vi stille til at lovlige operativsystemerne kan tilbyde.

Vi har brug for noget lovgivning, der skal sikre private mod spyware og hacking, og vi har brug for regler, der kræver nye operativsystemer er så sikre, at vi kan have personlige data på computeren, uden der er risiko for, at et tilfældigt installeret program, kan få adgang til vore data.

Grundlæggende skal stilles krav til alle nye operativsystemer om, at de skal kunne garanterer programpakkers isolering, således de kan sikre at de ikke kan ødelægge hinandens funktionalitet - præcist som vi stiller til almindelige produkter, under EMC kravet.

Normalt vil beskyttelsen betyde, at programmerne 100% isoleres, som var de i hver deres isolerede kasse. Og eneste kommunikation der sker til omverdenen, sker via funktioner - helt efter samme princip, som man bruger i C++. Harddisken, og harddisk snagen, skal være umuligt for alle programmer. De kender kun de data, de har i deres egne maver. Skal de f.eks. have adgang til brugerens data, går det via brugerens datainterface, der altid spørger brugeren om hvor dataene skal hentes, og gør opmærksom på, hvilket program der beder om oplysningerne.

Vi har brug for et helt nyt lovkompleks indenfor software, der garanterer mod spyware og hacking, og garanterer imod at programmer kan forstyrre eller ødelægge hinanden og operativsystemets funktion. Og vi har brug for krav til at operativsystemerne garanterer, at et programs installation, intet må kunne ødelægge. Er noget, der ikke fungerer, skal det kunne garanteres, at vil kunne helbredes med en afinstallering af de syge programmer. I dag er karakteristisk for syge programmer, at de ikke kan fjernes - men kun forsøger at bilde brugeren ind, at de fjernes.

  • 3
  • 0

100 % enig. Vi har jo CE mærkningen som omfatter personsikkerhed og EMC standarder der skal overholdes. Dette kan udvides til også at omfatte internet sikkerhed. I samme ånd kan CE standarder udarbejdes for forskellige typer udstyr der forbindes til nettet. Branchen ved godt selv hvor der er tynd is og tyk is, så de fleste kan godt selv være med til at beskrive hvad der er sikkert. Samt ikke mindst hvordan der skal testes, for at bevise at det er sikkert. Egen certificeringen må være godt nok, eller måske der skal 3'je part certificering til i enkelte produkttyper hvor branchen kræver dette.

Kom igang med de nye CE standarder.

  • 3
  • 0

Lovgivning og krav til apparater, er ikke i sig selv en løsning. Lad os bare antage at vi får vedtaget nogle lovkrav. Krav der giver forbrugeren krav om at kunne få sine enheder opdateret. Det løser bare ikke problemet. Den to års periode for opdatering som du skriver om er alt for kort. Den slags apparater er i drift meget længere. Prøv at se på hvor gamle de kasser du selv har i brug er. Så længe der er i drift, er de potentielt sårbare. Adgangen til opdateringer i to år giver i praksis ikke noget!

På flere områder, f.eks. Windows, har folk allerede i dag mulighed for at få opdateringer. Her er virkeligheden bare, at det langt fra er alle der opdaterer alt. Resultatet af dette er at der efterlades sårbart udstyr der ude. Når dette så begynder at gælde routere, NAS bokse, videoptagere, kameraer, printere, så bliver det endnu sværere at få folk til at opdatere dem, selv om fabrikanten tilbyder software. I praksis er det virkeligt svært at få folk til at opdatere, især når de tilsyneladende ikke selv får noget ud af det. Resultatet vil være, at vi stadigvæk har et utal af (gamle) enheder der ude, der er sårbare.

Det er fint at 'indføre' krav om godkendelse og mærkning af apparater. Hvordan skal man godkende et sådant produkt? Hvem skal gøre det? Efter hvilke regler? Hvordan sikrer vi os at den undersøgelse der laves er reelle nok og ikke bare et "gummistempel". At få indført sådanne regler mere 'globalt' end i EU-regi anser jeg som urealistisk. Hvad gør vi så ved alt det skrammel som folk køber på nettet, og som vil være billigere end godkendt udstyr?

Jeg har i mit arbejde været involveret i godkendelser at software både som producent og som kontrollant. Erfaringen herfra er, at det ender i et ganske omfattende papirnusseri, samt at målstolperne flytter sig. Et eksempel på det sidste er 'heartbleed' buggen. Man baserer sig på software som alle tror er OK, men hvor det viser sig, at der er en fejl mange år efter at softwaren er skrevet. Kan man bebrejde leverandøren det?

Jeg kan ikke lide 'Big Brother' men.... Vi vil være i en situation med masser af inficerede enheder der kan ødelægge nettet, og hvor brugeren ikke agter at gøre noget ved det. Her ser jeg et par ting. Det første er, at det nok bliver nødvendigt at nogle 'følsomme' tjenester fremover kører på separate net, der ikke er tilgængelige fra 'det almindelige' Internet. Det er muligt men det vil koste. Det andet er, at det bliver nødvendigt at give netværksudbyderne nogle muligheder for at udelukke brugere der har udstyr der er sårbart. Det vil give en bunke støj, men kan ikke undgås.

Der er ingen nemme løsninger her, og de løsninger som vi beder politikerne om at lovgive om, skal være operationelle. Det er vores ansvar som faggruppe at analysere situationen og give politerkerne nogle fornuftige råd.

  • 3
  • 0

Den to års periode for opdatering som du skriver om er alt for kort. Den slags apparater er i drift meget længere.

Jeg tror en ny CE lovgivning vil tage tid, og det vil gå tid inden den er ordentligt indført - samtidigt, vil den formentligt ikke gælde overfor udstyr, der er taget i brug, før lovgivningen trådte i kraft. Det kan derfor nemt have en tidshorisont på 5 år, inden de første resultater ses, og måske 10 år, inden den er rimeligt gennemført.

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten