USA vil tæmme Internet of Things

Tanken om, at dit fitness-ur, dit køleskab eller store dele af dit intelligente hus bliver overtaget af en hacker, er ikke rar. Men efterhånden som flere og flere hverdagsapparater benytter sig af forbindelse til internettet, vokser risikoen for netop det.

Det amerikanske senat behandler derfor i øjeblikket et lovforslag fra fire senatorer fra både den demokratiske og den republikanske lejr, som er bekymrede for, at Internet of Things – et samlebegreb for digitale enheder og udstyr, der kan kobles på nettet – er kommet ud af kontrol.

Antallet af såkaldte ”IoT-enheder” stiger i øjeblikket eksponentielt og forventes i øjeblikket at tælle over 20 milliarder enheder globalt. Se figur 1.

Det udgør ifølge senatorerne en enorm sikkerhedsrisiko for både offentlige som private it-systemer. For når en enhed kan kommunikere via nettet, så kan den også hackes.

Som den demokratiske senator i Virginia, Mark R. Warner, konstaterede ved lanceringen af det nye lovforslag: ”Jeg har længe været bekymret for at alt for mange enheder, der kan forbindes til internettet, bliver solgt uden tilstrækkelige sikkerhedsforanstaltninger.”

Derfor har han sammen med sin partifælle, den demokratiske senator i Oregon, Ron Wyden, samt de to republikanske senatorer Cory Gardner og Steve Daines fra hhv. Colorado og Montana fremsat forslaget ”Internet of Things Cybersecurity Improvement Act”.

Med forslaget vil senatorerne sikre, at IoT-enheder, der sælges til de amerikanske myndigheder, overholder en række sikkerhedsmæssige minimumskrav. F.eks. skal softwaren kunne opdateres og de må ikke have ”hardcodede” kodeord indbygget, som brugerne ikke kan ændre.

Ligeledes må de ikke have kendte sikkerhedshuller, og det skal, i modsætning til i dag, være lovligt for it-sikkerhedsfolk at teste og hacke IoT-enheder for at afsløre sikkerhedsproblemer og afrapportere dem til producenterne. Desuden skal alle offentligt indkøbte IoT-enheder i USA registreres.

Selvom lovgivningen i første omgang omhandler amerikanske offentlige myndigheders køb af IoT-enheder, forventes den nye lov, hvis den vedtages, at smitte af på udvikling og handel med IoT-enheder til private og virksomheder.

Det er nemlig ikke småpenge den amerikanske regering køber it-udstyr ind for. Alene i 2018 forventes den offentlige sektor i USA at bruge knap 100 milliarder dollar på digitalisering og it-udstyr. Heraf er en stadig større del IoT-enheder som f.eks. bygningsautomation til offentlige bygninger.

IoT er det vilde vesten
Det amerikanske lovforslag er første reelle forsøg på ved lovgivning at tæmme den eksplosive spredning af ubeskyttede digitale enheder med internetadgang.

Det forventes imidlertid at sætte skub i udviklingen af tilsvarende sikkerhedslovgivning i andre dele af verden, herunder EU, da ingen længere er i tvivl om sikkerhedsrisiciene ved, at alt fra tøjbamser til garageporte kobles på nettet.

Problemet blev for alvor erkendt sidste år, da en række store, populære internettjenester som Twitter, PayPal og Spotify blev lagt ned af hacker-angreb. Hackerne sendte tjenesterne i knæ ved brug af ubeskyttede IoT-enheder, som de sammenkoblede i et såkaldt botnet – en hær af enheder, der overbelaster systemerne med ligegyldig trafik og skadelige programmer.

Selvom om den manøvre umiddelbart lyder avanceret, er den i dag uhyre nemt tilgængelig for lyssky personer, der blot skal have fingre i f.eks. programmet Mirai, der automatisk skanner nettet for ubeskyttede IoT-enheder og sammenkobler dem i botnets.

Det nye lovforslag bakkes op af sikkerhedseksperter fra institutioner som Harvard University og Atlantic Council, men det skal igennem en endnu ikke datofastlagt officiel afstemning i senatet, før det kan vedtages.