En fredagseftermiddag i oktober utsattes dns-leverantören Dyn för en omfattande överbelastningsattack. Tusentals och åter tusentals virusinfekterade webbkameror hade samlats i ett botnätverk som attackerade leverantören med 50 gånger mer datatrafik än normalt. Det dröjde inte länge innan boven i dramat pekades ut: Miraiviruset och sårbarheter i webbkamerorna som gjorde det möjligt för utomstående att hacka dem.

Det dröjde inte heller länge innan varningarna började dugga tätt: Tillverkarna måste göra säkrare prylar och folk måste blir mer medvetna om riskerna. För ska man tro analytikerna och experterna har vi än så länge bara sett början om en trend som växer sig allt starkare.

Analysföretaget Forrester förutspår att över en halv miljon internet of things-enheter kommer utsättas för attacker eller utnyttjas för överbelastningsattacker, skriver IDG News. Överbelastningsattacker är även kända som ddos-attacker.

jimmy johansson
Jimmy Johansson.


Bara det stora antalet osäkra webbkameror, babymonitorer och routrar borde i sig vara fog för oro, skriver analysföretaget i sin rapport. Och bristerna ska till stor del bero på slarv och på att tillverkarna har för bråttom. Oroväckande många tillverkare bortser från säkerheten när de tar fram nya produkter. Ett problem som Jimmy Johansson, säkerhetschef på Telenor Connexion känner igen.

Läs också: Experternas säkerhetslöften för 2017 – “Säg adjö till användarnamn och lösenord”

– Time to market har alltid trumfat säkerhet. Det handlar om att vara först, så när någon sträcker upp handen och frågar: säkerheten då? Då beslutar man att ta det i efterhand, och då är det för sent. Man missar viktiga komponenter, som fastslagna rutiner för att hämta ny mjukvara på ett säkert sätt, som också måste verifieras, säger han.

Internet of things medför i sig inte några krav på ny säkerhetsteknik eller rutiner. I de allra flesta fall handlar det om samma typ av säkerhet som finns i telefoner och datorer. Det som är nytt, säger Jimmy Johansson, är integritetsaspekten och just mängden uppkopplade enheter.

– Det vi ser nu är hur kapade enheter används för till exempel ddos-attacker, men det stannar inte där. De kan tas över för att övervaka oss i hemmet. Och med det stora antalet enheter blir det snabbt väldigt osäkert att stoppa in massa prylar som vi inte förstår hur de kommunicerar och om vad, säger han.

En annan aspekt som han lyfter är internetuppkopplingarna. De har blivit både bättre och snabbare. För ett par år sedan hade de flesta adsl men i dag kan även användare i glesbygd beställa en uppkoppling på en gigabit.

– När det blir standard kan man bara ana hur stora ddos-attackerna kan bli. Med tusen kapade enheter med tillgång till en gigabit i hastighet uppströms kommer man rätt snabbt upp i en terabit, säger han.

Här har internetleverantörerna och tillverkarna ett gemensamt ansvar. Dels att se till att det finns verktyg och spärrar som hindrar att en kamera eller router börjar skicka ut onormalt stora mängder datatrafik. Men också i arbetet att se till att kunderna vet hur produkterna ska hanteras.

Det senare kan ske via förinstallerade protokoll eller via en portal där kunden själv kan anpassa inställningarna så trafiken stryps om enheten använder mer än en viss mängd data. Internetleverantörerna bör också ha system som reagerar och larmar om de upptäcker onormal trafik och onormala trafikmönster i sina nät.

Läs också: Nu vill Microsoft säkra alla uppkopplade prylar

Hittills har ddos-attacker framför allt riktats in på företag och organisationer, till stor del för att det har varit den möjlighet som finns med uppkopplade prylar, att kapa dem och använd dem i botnätverk.

Men i takt med att produkterna blir fler har de kriminella hackarna börjat se möjligheter med att kapa enskilda enheter och pressa ägarna på pengar. Florin Lazurca, teknikchef på Citrix, är av uppfattningen att konsumenterna kommer att utgöra en större måltavla under 2017. Innovativa kriminella nätverk kommer att hitta sätt att tjäna stora pengar på att kapa uppkopplade prylar med dålig säkerhet.

– Vill du surfa på internet? Betala lösensumma. Vill du använda babymonitorn? Betala lösensumman. Vill du titta på sin smart-tv, betala, säger han.

Nyckeln till säkra produkter är gemensamma standarder men också medvetna användare. Med gemensamma riktlinjer, rutiner och processer ökar sannolikheten för att produkterna ska hålla rätt kvalité. Kunderna vet vilken märkning de ska leta efter för att få en säker produkt och tillverkarna kan ha något att luta sig emot.

National Institute of Standard and Technology tog nyligen fram en standard för internet of things. Likaså har mobiloperatörernas branschorganisation GSMA tagit fram olika riktlinjer beroende på var i ekosystemet man som företag befinner sig. Det är ett arbete som Telenor Connexion deltagit i. Mycket vilar på redan etablerade säkerhetsstandarder, inte minst ISO 27001 som omfattar säkerhet för informationsteknik.

Som med all teknikutveckling handlar det om att både bransch och användare måste mogna. I den processen ingår att allt eftersom få bättre förståelse för och kunskap om produkterna. Och medvetenheten har blivit bättre. Vilket i sin tur pressar företagen till att bygga in bättre säkerhet i sina webbkameror och routrar.

– Jag tror att fler och fler kunder blir medvetna och dissar då de företag som inte kan leverera säkra saker. Det kommer få en del företag att försvinna för att dom inte anpassar sig, men en del att tänka om och börja titta på säkerheten. De företag som kommer att lyckas är det som förstår att kunderna inte ska behöva tänka särskilt mycket på säkerheten, säger Jimmy Johansson.

Läs också: Spelforum och sexsajter - här är årets största databasstölder

Kompetensbrist är ett ord som hörs ofta i säkerhetssammanhang. Men inte i den betydelse som är nödvändig tycker han. Visserligen är det svårt att få tag på rätt person med rätt kompetens, men det handlar inte bara om säkerhetsexperter.

– En säkerhetsexpert är nödvändigtvis inte en jurist, fullfjädrad programmerare, erfaren projektledare, och inte en business controller. De har ofta bred och teknisk kunskap. Det som saknas är säkerhetskunnande och förståelse i hela organisationen, säger han.

Den stora utmaningen för företag verksamma i Europa kommer under 2017 vara det nya dataskyddsdirektivet, GDPR.

– Utan tvekan, det handlar om att man måste förstå den nya lagstiftningen, implementera den och sedan kommunicera den i just sin verksamhet. På samma gång vara transparent men också balansera det med att inte vara för öppen och utsätta företaget och kunderna för onödig risk. Väldigt många kommer har fullt upp med det arbetet under året. Och klarar det inte av det, kan man riskera reprimander i form av varningar, revisioner eller rent av viten som kan uppgå till höga belopp.