Alle sladrer om meg

Tenk deg at du har en vennekrets som følger med på alt du gjør. Ikke bare det, men de sladrer om deg til alle som vil høre på.

Kassadamen får høre om ham du snoka på i sosiale medier i forrige uke, innbruddstyven fra Litauen får en innføring i det fete lydanlegget ditt og dessuten når du sist kjøpte TV, en tilfeldig forbipasserende får vite hvilke medisiner du tar og hvorfor du tar dem samt hvor ofte du bæsjer. Ikke så kule venner, eller hva? Vel, bytt ut ordet venner med enheter. Enheter koblet til internett. De kommer snart til å være over alt.

Gartner har beregnet at det i 2020 vil finnes 26 milliarder Internet of things (IoT)-enheter. I tillegg kommer PC’er, tablets og smarttelefoner. Enheter som registrerer, sporer, samler og tolker en kontinuerlig strøm av informasjon om deg og dine omgivelser, gjerne i samhandling med hverandre. Noen enheter vil være stasjonære (montert i bygninger eller offentlige rom) og andre er enheter du vil ha med deg hvor enn du er (mobiler, klokker og andre sensorer). Dette gir oss uten tvil mange nyttige og i enkelte tilfeller livsnødvendige tjenester.

Ofte diskuterer man Internet of things med stjerner i blikket. Særlig her i tekno-slash-mediaverden. Gud bedre så mange trendforskere jeg har hørt snakke om hvor fantastisk alt kommer til å bli når kjøleskapet selv bestiller flere poser Sognemorr etter du endelig har klart å kaste den som lå og mugna i kjøleskapet (fordi ingen spiste den). Et Utopia av husholdningsapparater og skytjenester som gjør ting for oss automatisk, er fremtiden. Vi trenger snart ikke kle på oss selv engang.

Det som ikke nevnes i flashy presentasjoner er at IoT utgjør en betydelig risiko for datasikkerhet og personvern. Nå og i all overskuelig fremtid. Fra et forbrukerstandpunkt er det tre hovedgrunner til dette.

For det første er IoT-enheter i realiteten milliarder av potensielle sikkerhetshull

Hver enkelt enhet og sensor representerer en mulig inngangsport. Dersom denne porten er dårlig beskyttet, er den en sikkerhetsrisiko. Allerede fra 60-tallet var det kjent at man kunne hacke printere. Senere er det blitt avdekket betydelige sikkerhetshull i alt fra overvåkningskameraer til medisinsk utstyr. Dette er enheter som ofte er satt opp uten grunnleggende eller med minimal sikkerhet av selskapene som monterer og drifter dem. Det trengs ikke engang kriminelle hensikter for å se potensielt sensitiv informasjon når det ligger åpent ute på nett.

Med flere enheter på markedet blir dette et økende problem. Mange av produsentene fokuserer på nytte fremfor sikkerhet. For eksempel vil et selskap som leverer kortvarige forbruksvarer, for eksempel billige lyspærer, ikke nødvendigvis prioritere datasikkerhet og personvern. Dette innebærer en sikkerhetsrisiko både for enheter som utveksler informasjon direkte med lyspæren (systemer for lys- og varmestyring) samt resten av enhetene som måtte dele nettverket for øyeblikket.

Hvem sitt ansvar er sikkerheten når den stadig er avhengig av det svakeste ledd? Vi ser at selv store, anerkjente selskaper sliter med sikkerhetshull (Adobe og Flash Player, anyone?). Hvordan blir dette når vi kobler sammen enheter der noen av produsentene gir blaffen? Det vi sannsynligvis vil se er at seriøse aktører satser på egne, verifiserte enheter i nærmest lukkede økosystemer. I en nylig hackaton på MIT Media Lab, fikk de 153 deltagere i oppgave å hacke 20 smart home-enheter. I løpet av 3 timer hadde deltagerne tatt kontrollen over 25% av enhetene og oppdaget en rekke ukjente svakheter. Men ikke alle enheter var like sårbare. Dojo, et av de første smart-home systemene på markedet, var en av enhetene som sto imot forsøkene. I de sikre enhetene var sikkerhet designet inn fra starten og la vekt på å lage sikre forbindelser til skyen og tilhørende mobilapper.

Spørsmålet er om forbrukerne vil etterspørre dette eller om de foretrekker åpne integrasjonsmuligheter med større valgfrihet – og forstår konsekvensen av et slikt valg.

For det andre åpner IoT for kriminalitet det er vanskelig å verge seg mot, oppdage og etterforske etter at noe har skjedd.

Europols rapport “The Internet Organised Crime Threat Assessment” nevner særlig Crime-as-a-service, der datakriminalitet selges som en kommersiell tjeneste, som en av fremtidens store utfordringer. Å utnytte svakheter i datasystemer har vært mulig lenge, men ikke i en slik skala vi ser nå.

På grunn av den svake sikkerheten ved mange enheter kan man skaffe seg oversikt over hvorvidt en bolig har alarm, hvilken type det er, om anlegget er på og hvor de enkelte sensorene sitter.  Man trenger ikke engang hacke seg inn i systemet. Analyser av hvor lang tid det tar systemet å svare på forespørsler kan brukes for å avgjøre merke og modell. På denne måten kan noen lage nærmest komplette inventar-lister over hva som er i huset ditt.

De fleste som lager slike enheter, er verken firmware- eller programvareleverandører. Dette kan kjøpes enkelt og billig fra en tredjepart. I en test gjort av Andrei Costin, Jonas Zaddach et al ble det avdekket 38 til da ukjente svakheter på ulike firmware som igjen berørte minst 140 000 enheter som var koblet til Internett.

IoT-enheter som er åpent tilgjengelig kan søkes opp gjennom botnets eller enda enklere – gjennom IoT søkemotoren Shodan. En kjent svakhet gjør det dermed enkelt å finne enheter med samme svakhet.  Shodan kan finne alt fra systemer som trafikklys, overvåkningskameraer og enheter som overvåker fosterlyd. Og atomkraftverk. Smak litt på det.

IoT data kan ikke bare høstes av uvedkommende, den kan også manipuleres.  I en sak for Wired ble en Jeep Cherokee live-hacket via underholdningssystemet. I Nissan Leaf fant man et API som ga tilgang til informasjon om de siste kjøreturene, samt full kontroll over klimaanlegget og dermed muligheten til å tømme batteriet. Dette API’et var bygget helt uten sikkerhet.
I Spania viste det seg at smart-meterne på strømmåleren lett kunne hackes for å endre opplysninger om strømforbruk og allokere forbruk til andre enn en selv. Når data er så lett å manipulere, kan man egentlig stole på den?

Dette bringer meg over til mitt siste poeng.

Både lovgivning og folks oppfatning av hva som er privat henger etter den teknologiske utviklingen.

Selv om en person går med på en rekke brukervilkår er det langt fra sikkert at han er i stand til å forstå hva dette vil innebære, særlig siden man ofte sier ja til vilkårene på enhetsbasis.

I mange tilfeller vil ikke engang produsenten selv klare å forutse konsekvensene av sammenkobling av informasjon på tvers av enheter. Det blir da en nærmest umulig oppgave å innhente et reelt samtykke. En ting er hva hver enkelt enhet registrerer om deg, men summen av opplysningene kan gi et klart bilde av dine eiendeler, hvordan du interagerer med dem, dine vaner, interesser og livsstil som du verken vet om eller kan kontrollere. Og dersom du hadde visst det, er du da i en posisjon til å kunne nekte? Vil forsikringsselskaper i fremtiden kreve tilgang til treningsutstyret og hjertemonitoren din for å fortsette å forsikre deg?  Kan du si egentlig si nei?

Det kommer i disse dager nye EU-regler om databehandling og personvern. Disse lever fortsatt etter den gamle ideen om at informasjon samles inn og behandles på ett sentralt sted, som deretter kan stå ansvarlig. Dette fungerer ikke når data sprøytes ut i alle retninger av enheter som verken kan eller vil identifisere og lukke sikkerhetshull og ansvaret pulveriseres over flere ledd. Ei heller når kriminalitet utføres fra steder i verden som ikke nås av lover eller straffeforfølgelse, av kriminelle med bedre finansiering og skills enn etterforskerne.

I tillegg er det vanskelig for en maskin å forstå hva vi mennesker oppfatter som privat. Vil overvåkningskameraet forstå at den godt kan følge med på når babyen sover, men ikke hyrdestunden med kona? Vil den personlig tilpassede annonsen på bussen forstå at du ikke vil at alle skal se forslaget om neste bok i serien «Hvordan leve med fotsvette»? Privatliv er et menneskelig og til dels subjektivt konsept som eksisterer i kontekst. Dette er det ikke lett å lage algoritmer (eller lover) for. Det som er uakseptabelt for den ene, er kanskje helt OK for en annen. Hvem av dem skal sette standarden?

Noen vil kanskje si at fordelene med IoT veier opp for ulempene. At tjenestespekteret vi kan tilby med for eksempel monitorering av helsetilstanden din oppveier for den informasjonen du nødvendigvis må gi fra deg. Informasjon som hittil har vært utilgjengelig for andre annet enn i spesifikke situasjoner som ved et legebesøk.

Retten til respekt for privatliv og familieliv, sitt hjem og sin korrespondanse er nedfelt i menneskerettighetene. Myndighetene må ta innover seg hva den økende bruken av IoT innebærer, også med hensyn til hva de selv skal få innsyn i. Den teknokyndige forbruker kan muligens sette opp tre rutere, skape lukkede nettverk og sikre seg på den måten. Den jevne forbruker har ikke sjans. Ingen passer på deg i dag, hvem kommer til å passe på deg i morgen? Det du kan gjøre er å kreve at myndighetene følger med i tiden, at produsentene du kjøper av ivaretar din sikkerhet. Men først og fremst må du oppdatere deg selv så du forstår hva som faktisk skjer nå.

Teknologien gjør det mulig for oss å gjøre fantastiske ting, men hvem skal holde hver enkelt av oss i hånden og spørre «vet du egentlig hvem som har laget firmwaren på dørlåsen din»? Særlig etter at sensoren som styrte dørlåsen viste seg å slippe inn alle andre enn deg, som nå står låst ute en tidlig søndagsmorgen med Aftenposten under armen.

 

av Line V. Nilsen
Analysesjef, Kommersiell Analyse, i FINN.no

Meny
Skroll til toppen