Att hacka en smart boj - IOT-säkerhet på hög nivå

Ett av de största hoten mot utbredningen av IOT-lösningar är säkerhetsaspekten. För att provtrycka såväl vår nyskapade IOT-plattform som en av de integrationer vi gjort lät vi säkerhetsexperterna från Truesec hacka en smart boj för några veckor sedan.

Datum

20/06/2018

Kategori

Internet of Everything

Ett nytt angreppssätt

Vi vill ständigt bryta ny mark och testa nya angreppssätt. För att maximera lärandet och det slutgiltiga resultatet för våra kunder. Därför valde vi för en månad sedan att utsätta vår plattform och den smarta bojen för ett kontrollerat hackerförsök. Truesec, som bland annat har erfarenhet kring säkerhet inom IOT, har ett gäng riktigt duktiga hackers som hjälper bolag att säkerhetstäta sina system varje dag. Vi teamade upp med dem och lät dem hacka den smarta bojen för att hitta säkerhetshål att täta. Och hittade en värdefull partner att ha med även i framtiden.

”I fallet med den smarta bojen handlar det om relativt okänslig data som badvattentemperatur. Det värsta som kan hända om någon skulle ta sig in och ändra ett mätvärde är att någon skulle lockas att bada och få en chock av att vattnet var kallare än utlovat.”

Christian Malmström

Säkerhet och dataaccess

Vi tar säkerhetsaspekten på stort allvar. I fallet med den smarta bojen handlar det om relativt okänslig data som badvattentemperatur. Det värsta som kan hända om någon skulle ta sig in och ändra ett mätvärde är att någon skulle lockas att bada och få en chock av att vattnet var kallare än utlovat. Men datan går även vidare in i kommunala IT-system och vi vill vara säkra på att vårt API inte utgör någon fara att integrera mot. I flera av våra andra projekt jobbar vi med mer känslig data, och genom att utsätta en av våra vertikaler för ett kontrollerat hackerförsök, var planen att göra en generell tätning av möjliga säkerhetshot. Än så länge finns ingen standardiserad säkerhetscertifiering för IOT-projekt, men genom att vara proaktiva vill vi se till att när detta kommer, så är vi redan förberedda.

Efter ett projekt med många lärdomar och insikter är vi nu klokare och kan designa såväl plattform som sensorer på ett säkrare sätt. Och tillsammans med Truesec kan vi framöver erbjuda våra kunder en säkerhetstestad IOT-vertikal där data verkligen stämmer och stannar i rätt händer. En trygghet för oss och en trygghet för dig som kund.

Några av våra åtgärder

-Begränsa range som in- och utdata kan ligga inom för att hindra onormala datavärden för att förstöra något längre fram i kedjan.

-Lägga vår plattform i säkra Google Cloud inom EU (fortfarande möjligt i specialfall att ha datan i Sverige).

-Blockera indata som inte stämmer med formatet vi vill ha in, samt göra någon form av kontroll av labels och metadata som inkluderas i APIet ut till nästa system.

-Vara extra noga med adaptrarna vi utvecklar runt vår plattform både ”neråt” mot tex Actility och ”uppåt” mot tex kommunala IT-system. Det är i ”skarvarna” som säkerhetshålen kan finnas.

-Designa sensorer som i sig är robusta och svåra att stjäla eller manipulera.