IoT-enheter er som regel designet for kostnadseffektivitet, brukervennlighet og enkel tilgang, men de kommer dessverre alt for ofte med store integrerte svakheter. Begrensninger i eller ingen muligheter til sikkerhetsoppdateringer, tilgangsstyring og kryptering er alle utbredte problemer. Det er derfor helt nødvendig å innlemme disse komponentene i vår ordinære IT-drift og forvaltning for å beskytte oss mot nye digitale trusler. I 2023 anslås antallet IoT-enheter globalt å overstige godt over 15 milliarder, og det er forventet en drastisk økning over de kommende årene. Vi ser fortsatt ofte at anskaffelse og forvaltning av slike systemer faller «mellom to stoler» i byggeprosjekter, og det blir opp til valgte entreprenørs underleverandør å levere omtrent det de selv måtte ønske.
Usikre IoT-enheter er blitt et hovedverktøy for statsaktører og kriminelle grupperingers digitale angrepsstrategier. En av disse strategiene innebærer spredning av skadelig programvare, også kjent som malware, i organisasjoners IT-systemer. Dette kan føre til alt fra mindre driftsforstyrrelser til omfattende datalekkasjer. I dag finnes det flere skadevareformer som er skreddersydde for å utføre målrettede angrep direkte mot IoT og OT-enheter.
Andre angrepsformer kan være gjennomføringen av tjenestenektangrep ved hjelp av så kalte botnett, bestående av en stor mengde infiserte IoT-enheter. Disse blir benyttet for å angripe oss selv igjen ved å overbelaste og slå ut nettbaserte tjenester og nettsider. IoT-komponenter kan også misbrukes for å i det skjulte avlytte nettverkstrafikk og tilegne seg sensitiv informasjon. Angripere kan videre bruke IoT-enheter til industrispionasje ved å ta seg videre inn i virksomheters IT-infrastruktur for å stjele alt fra bedriftshemmeligheter til personopplysninger. Og ikke minst kan usikrede enheter benyttes til å forstyrre eller sabotere bygningsinfrastruktur, inkludert systemer for varme, ventilasjon, belysning, sikkerhetssystemer og industrielle kontrollsystemer. Østre Toten angrepet, hvor blant annet brannvarsling, pasientvarsling og alarmsystemer ble rammet, er et nært eksempel på hvor sårbare vi er om ikke ITB systemer og IoT-enheter blir sikret godt.
I den digitale krigføringen under Ukraina-krigen har overvåkningskameraer blitt en sentral brikke, der vi har sett kameraer bli hacket og omformet til digitale propaganda- og angrepsverktøy. I ett nylig tilfelle ble overvåkningskameraer i Russland overtatt av en ukjent gruppe som brukte høyttalerne til å spre en tale av Zelensky, samt en populær ukrainsk patriotisk sang, alt innledet med lyden av luftvernsirener. Selv om det er usikkerhet rundt gjerningsmennene, reflekterer hendelsen en bekymringsfull trend: Fra hacktivistgruppen Anonymous’ hacking av et stort antall russiske overvåkingskameraer tidlig i invasjonen, hvor det ble lagt inn anti-krigs budskap direkte på videostrømmene – til russisk målrettet overtakelse av kameraer i strategisk viktige byer i Ukraina i år, antatt for å innhente etterretningsinformasjon. I tillegg er det en rekke andre eksempler på at sikkerhetssystemer er misbrukt for å skaffe informasjon, spre propaganda, og skape frykt og forvirring.
Norske myndigheter har i flere år fremhevet den digitale spionasje- og etterretningstrusselen fra Kina som tilsvarende, og i noen tilfeller større enn trusselen fra Russland. Innføringen av Kinas nye etterretnings- og datasikkerhetslover, som blant annet krever rapportering av IT-sårbarheter kun til kinesiske myndigheter, har gjort trusselbildet ytterligere mer komplekst. Dette gjør bruk av kinesisk overvåknings- og nettverksutstyr problematisk, spesielt i sammenheng med kritisk infrastruktur og samfunnskritiske funksjoner i Norge.
Enkle søk på Shodan, en søkemotor som indekserer internettilkoblede enheter, avslører en rekke IoT, ITB og OT systemer og enheter som er åpent tilgjengelige, også i Norge. Med minimal tilgangskontroll og få eller ingen sikkerhetsmekanismer er mange av disse lett tilgjengelige og svært sårbare for ondsinnede aktører som kan utnytte dem for skadelige formål eller som inngangsport for å infiltrere mer kritiske systemer også her til lands.
På lik linje som med andre IT-systemer så påvirker lovverk som Personopplysningsloven, GDPR og Åpenhetsloven valg, drift og forvaltning av smartbygg- og sikkerhetssystemer. Slike systemer inneholder ofte personopplysninger som må sikres av virksomhetene, både organisatorisk, fysisk og IT-sikkerhetsmessig. Freia har som kjent vært i hardt vær den siste tiden, grunnet morselskapet Mondelez sin inntreden på Ukrainas offisielle liste over det de definerer som "International Sponsors of War". Men flere kjente produsenter som Xiaomi, Hikvision og Dahua, som selger IoT, smartbygg- og overvåkningssystemer i stort omfang her i Norge har også blitt lagt til den listen den siste tiden. Regulatoriske, omdømme- og sikkerhetsmessige forhold må derfor vurderes parallelt som en del av det totale risikobildet når vi anskaffer slike systemer i norske virksomheter.
Vårt samfunn har dessverre et økende antall digitale "tikkende bomber" – IoT-enheter og smartbygg-systemer som er fullt eksponert på internett, mange av dem allerede kompromittert uten at det er blitt oppdaget. Disse systemene må tas på alvor, og må sikres, forvaltes og driftes som fullverdige IT-systemer, helst som en integrert del av virksomhetens ordinære IT- og sikkerhetsorganisasjon. Helt fra anskaffelse og gjennom systemenes levetid. Det er avgjørende at vi tar dette på alvor nå, for å begrense angrepsflaten for ondsinnede aktører som ønsker å utnytte disse systemene mot oss selv igjen.
