Når den intelligente stikkontakt bliver din værste fjende

I gamle dage – som slet ikke er så mange år siden – foregik en stor del af internetsvindlen med en simpel e-mail, der på hjælpeløst oversat dansk lovede guld og grønne skove, hvis man bare lige ville indtaste sine kreditkortoplysninger.

Siden dengang har svindlen via internettet fået mange flere ansigter, og i øjeblikket er der god grund til at rette øjnene mod de mange systemer, som i dag kommunikerer med internettet uden egentlig menneskelig kontakt – det man i daglig tale kalder ”tingenes internet” eller ”IoT” (Internet of Things, red.).

Alt fra private hjem til industriproduktioner kommer vil koble sig på nettet. Det giver store muligheder for bedre styring og udnyttelse af resurserne men åbner også flere døre for misbrug og hacking, lyder det i en ny rapport om cybersikkerhed i tekniske installationer og industriprodukter.

– I takt med at enheder, der er koblet til internettet, styrer fysiske enheder, vil der være risiko for, at hændelser i det digitale domæne kan medføre omfattende fysiske ødelæggelser og i værste fald tab af menneskeliv, lyder én af konklusionerne i rapporten, som it-sikkerhedsfirmaet Dubex har lavet.

Ny viden og nye specialister

Antallet af IoT-produkter stiger i øjeblikket eksplosivt, og som menig installatør kan det virke uoverskueligt at tænke cybersikkerhed ind i alle opgaver. Det er heller ikke nødvendigt ifølge Jacob Herbst, der er teknisk chef i Dubex. Men det er bydende nødvendigt for alle installationsvirksomheder at forstå konsekvenserne af dårlig cybersikkerhed i nye IoT-produkter.

– Man er nødt til at tillære sig nogle nye digitale kompetencer, men det er ikke et spørgsmål om, at alle installatører skal være it-specialister – de skal bare være opmærksomme på risikoen, siger Jacob Herbst.

Indtil videre har der dog været begrænset fokus på risikoen for it-kriminalitet i installationsbranchen. Rapporten forklarer det med, at der til dato har været meget få sager med den slags cyberangreb i Danmark. Kigger man mod udlandet, er der dog en række grelle eksempler. Et af dem er fra USA, hvor butikskæden Target i 2013 blev hacket gennem HVAC-anlægget. Derigennem kunne hackerne angribe butikskædens betalingssystem og stjæle kreditkortoplysninger fra kunderne.

– Det er et spørgsmål om tid, før it-kriminelle finder en ny ”forretningsmodel” herhjemme, siger Jacob Herbst om de manglende danske sager i den kategori.

Han mener, at risikoen vil stige i takt med, at flere produkter bliver koblet på internettet som led i den grønne omstilling.

– Det kunne være varmepumper, der er forbundet til internettet. Lykkes det at få kontakt til tilpas mange på samme tid, kan man forstyrre elnettet så meget, at det brænder transformatorstationer af, siger Jacob Herbst.

Hvem har ansvaret?

Center for Cybersikkerhed har også kigget nærmere på sikkerheden i forhold til udbredelsen af IoT-produkter i en trusselvurdering fra 2019. En af konklusionerne er, at de intelligente produkter typisk er ekstra sårbare, da de er udviklet til et meget specifikt formål. Samtidig er der ofte ikke brugt kræfter på at sikre netværksdelen eller modtage sikkerhedsopdateringer, som man kender det fra traditionelt it-udstyr.

– Af samme årsag er det vigtigt, at installatørerne er opmærksomme på cybersikkerheden i de produkter, de sætter op. Hackerne er nemlig hele tiden på jagt efter nye huller i systemerne, vurderer Thomas Lund-Sørensen, der er chef i Center for Cybersikkerhed.

– Der er hele tiden nogen, som er i gang med at undersøge mulighederne, så inden for få timer kan det nye udstyr være scannet. De er ikke alle ondsindede, og nogle af dem går til producenterne, når de opdager huller. Men det gør hackerne ikke, siger Thomas Lund-Sørensen.

Det hele bliver særligt kompliceret, når man forsøger at fastslå, hvem der har ansvaret for at sikre bygninger mod hackere, som angriber IoT-enheder. Er det producenterne, installatørerne eller kunderne? Alle skubber ansvaret lidt fra sig, men pilen peger i sidste ende på kunden, lyder det i rapporten fra Dubex.

Til gengæld har installatørerne ansvaret for sikkerheden i forbindelse med installationen, og det er netop i dét spring, at der kan opstå sikkerhedshuller. Åbninger i sikkerheden, der er lavet i forbindelse med installationen, bliver måske ikke lukket igen, når arbejdet er udført. Kunden lægger formentlig mere vægt på funktionalitet og bekvemmelighed i dagligdagen, mens både installatører og kunder fejlagtigt tror, at producentens medfølgende sikkerhed er tilstrækkelig.

– Alle tre led skal være opmærksomme på sikkerheden. Producenten skal sikre, at produkterne bliver opdateret i en vis periode, installatørerne har en væsentlig opgave i at ændre standard-adgangskoderne, og kunden har naturligvis et ansvar for at tænke cybersikkerhed ind i det arbejde, der bliver udført, siger Thomas Lund-Sørensen.

Ny forretningsmodel

Når sikkerheden alligevel bliver nedprioriteret i branchen, kan det hænge sammen med, at kunderne simpelthen ikke efterspørger det i tilstrækkelig grad. Alligevel slår rapporten fast, at det er nødvendigt at gå ind i mulige forretningsmodeller. Installatørerne skal satse på erhvervskunderne og de mere avancerede løsninger, der ikke kan købes som simple ’plug n’ play’-produkter.

Det kan være en god idé at agere rådgiver og udbygge sin serviceforretning med tilbud om at vedligeholde de digitale løsninger. Det kan installatørerne med fordel gøre i et tættere samarbejde med producenter og distributører for at markedsføre og sælge samlede digitale løsninger, lyder det blandt andet i rapporten.

– Det er en systemisk udfordring for installationsbranchen, hvor udviklingen går i retning af, at nogle produkter er så nemme at betjene, at alle kan gøre det. Derfor er man nødt til at erkende, hvilke kompetencer man har brug for, når man skal give kunderne de løsninger, de rent faktisk vil betale for, siger Jacob Herbst, teknisk chef i Dubex.

Det skal ske med kurser til medarbejderne men også ved at hive it-specialister ind fra andre brancher, lyder det blandt andet. I Center for Cybersikkerhed er Thomas Lund-Sørensen også optaget af forretningsmulighederne, da det er nødvendigt at medregne det aspekt, hvis sikker heden generelt skal højnes.

Installatørerne skal ikke konkurrere på billige produkter med lav sikkerhed men i stedet fokusere på produkter, som kan sikre, at brugeren får egne unikke adgange. Derudover skal producenten garantere opdateringer i for eksempel fem år, så produkterne ikke så let bliver misbrugt.

– Det hele kan i virkeligheden koges ned til, at cybersikkerhed skal være et konkurrenceparameter i alle led, konkluderer Thomas Lund-Sørensen.