Säkerhetsinstallatören 1
SSF INFORMERAR Internet of Things och säkerhet –
Ny SSF-norm under framtagning På SSF pågår ett normprojekt med syfte att möjliggöra kravställning och provning av IoT-produkter ur ett säkerhetsperspektiv. En nödvändighet då säkerheten i vissa fall är både en brist och svår att förstå för konsumenter. Internet of Things, IoT eller på svenska, sakernas internet är i korthet samlingsnamnet på de produkter som är anslutna till varandra och till internet. Via anslutningarna kan produkter samla på sig data eller styras över internet. Intelligensen ligger i själva systemen som tar emot information från olika sensorer, detektorer, kontakter och givare. Så kallade IoT-produkter utgör en allt större bas för denna informationsinsamling och spridning. För industrin innebär IoT bland annat att det kan användas för att effektivisera, övervaka och bidra till en resurssnålare produktion och med smart teknik skapas också användarvänliga system för styrning av olika funktioner i fastigheter. I hemmiljön använder vi sen länge en mängd uppkopplade saker så som robotdammsugare, olika vitvaror och vi styr ljus, ljud och inomhusklimat via mobiltelefonen. Vi kan via mobil eller dator på distans övervaka och styra funktioner på arbetsplatser och i hemmet samt få larm om något händer. Ett par av de stora utmaningarna gällande IoT-produkter är säkerheten och för konsumenter att förstå vilken eventuell säkerhet som finns inbyggd. Desto fler produkter som kopplas samman, ansluts och sköts via internet desto större blir risken att systemet kan hackas och missbrukas. HACKERS KAN HITTA NYA KRYPHÅL Även om det utvecklas nya sätt att skydda sig mot cyberhot är det ändå en ständig kamp eftersom hackers ständigt kan hitta nya kryphål att missbruka. En vanlig form av cyberattack där IoT-produkter 40 SÄKERHETSINSTALLATÖREN 3-2020 är sårbara är när flera produkter hackas och tillsammans används för att slå ut ett system. För den vanlige konsumenten är det inte heller lätt att förstå säkerheten och vad det innebär när man kopplar upp en IoT-produkt. Går det att byta lösenord, finns det uppdateringar, kopplas den upp automatiskt till nätverket och går den att avlyssna? SKA UNDERLÄTTA FÖR KONSUMENTEN Det är viktigt att kunna välja en IoT-produkt efter påvisad säkerhet, och inte enbart efter påvisad komforthöjning! Det finns idag ingen norm eller standard som tar helhetsgrepp om processerna i utveckling av en IoT-produkt och inte heller hur man ska prova och klassa en IoT-produkt. Det finns inte heller några vägledningar eller märkningar som konsumenter kan titta efter. SSF startade därför under våren ett normprojekt med syfte att möjliggöra kravställning och provning av IoT-produkter ur ett säkerhetsperspektiv. Syftet med den nya normen är i sammanfattning: Norm prSSF 1120 ”IoT, uppkopplade enheter – Krav och provning” ska vara en Norm för bedömning av säkerhet hos IoT-produkter. Syftet är att skapa en produkt som ska underlätta för konsument/ företag att välja rätt samt minimera risker med uppkopplade IoT-produkter. Normen ska bidra till att provning av IoT-produkter kan startas för att hjälpa marknaden att välja ”rätt” produkt samt bidra till ett säkrare ”smarta hem/smarta fastigheter” samt i stort ett säkrare samhälle. I arbetet är olika experter inom området engagerade. Med utgångspunkt från experternas egna kunskaper och erfarenheter samt med de i nuläget få standarder och Guide Lines som finns i ämnet är inom kort ett första förslag klart för remiss. Till hjälp har man också använt standarden ETSI EN 303 645 ”CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements”. KVALITETSMÄRKNING Det som utmärker SSF:s kommande IoTnorm är bland annat att den beskriver flera processer och steg för framtagning av en uppkopplad enhet. Normen kommer att vara indelad i kapitlen: Utveckling, Installation, Kontohantering, Underhåll, Drift och Dataskydd samt Provning. Det kommer även att finnas ett avsnitt för hur en produkt som klarat kraven enligt normen får förses med ett kvalitetsmärke. Detta märke är tänkt att visas på produkt/produktförpackning mm för att köparen ska veta att produkten uppfyller väsentliga krav gällande säkerhet mot hackning och att den inte samlar och sprider oönskad information. ANDRA REDAN EXISTERANDE SSF NORMER INOM CYBEROCH DIGITALA OMRÅDET ÄR: SSF 1075 Distribution, lagring och användning av digitala nycklar SSF 1101 SSF Cybersäkerhet – Basnivå SSF 3523 Digital låsenhet