IoT-sikkerheden er for ringe: Anbefaler markedsregulering

Steen Jørgensen 0 kommentarer

Antallet af virksomheder, der giver brugerne mulighed for at indberette fejl, er så lavt, at sikkerhedsgruppe anbefaler markedsregulering.

IoT-sikkerheden er for ringe: Anbefaler markedsregulering

Det står skidt til med sikkerheden, når det gælder Internet of Things – det vil sige internetopkoblede produkter. Fire ud af fem producenter af IoT-enheder svigter den grundlæggende cybersikkerhedspraksis ved ikke at give folk mulighed for at indberette sikkerhedshuller i deres produkter.

Det viser en undersøgelse foretaget af IoT Security Foundation (IoTSF). Det er en gruppe fra teknologibranchen, der har til formål at fremme sikkerheden inden for IoT.

Kun 21,6 % tilbyder rapportering af sårbarheder i IoT

Som en del af undersøgelsen analyserede gruppen 315 af de mest populære producenter af IoT-produkter og fandt ud af, at kun lidt over hver femte af dem reklamerer for en offentlig kanal til indberetning af sikkerhedssårbarheder, så de kan blive rettet.

21,6 procent af leverandørerne tilbyder en sådan kanal, hvilket er en lille stigning i forhold til sidste år, hvor tallet var 18,9 procent. De 21,6 procent dækker over basale sikkerhedskanaler. Kun 6,7 procent tilbyder udvidede muligheder for at indrapportere sårbarheder.

Rapporten bemærker, at en del af den manglende politik for offentliggørelse af sårbarheder kan skyldes, at ikke-traditionelle it-virksomheder for første gang går ind på IoT-markedet. Det kan være producenter af køkkenmaskiner, der tilføjer intelligente funktioner til deres produkter.

Tyder på store problemer i branchen

IoT Security Foundation kalder tal for “uacceptabelt lavt” og henviser til, at bedste praksis for IoT-produkter har været frit tilgængelig for alle med en internetforbindelse siden 2017. At næsten 80 procent af alle virksomheder så alligevel undlader at stille en mekanisme til rådighed, der gør det muligt at indberette sikkerhedshuller, tyder på bredere problemer.

“Nogle virksomheder er stadig fanget i den mørke tidsalder, når det gælder holdningen til sikkerhedsforskere. Deres reaktion vil være at få advokaterne på forskerne eller forsøge at tvinge dem til at indgå NDA’er. Når lovgivningen kommer, vil nogle af disse virksomheder få et stort chok,” forklarer David Rogers, CEO for Copper Horse, der står bag undersøgelsen, i et interview med ZDnet.de.

Se også: Hvad er det svageste led inden IT-sikkerhed?

Kræver markedsregulering af fremskynde sikkerheden

I rapporten bemærkes det, at målet er at få 100 procent af leverandørerne af tilsluttede produkter til at praktisere god sikkerhedshygiejne. Vi skal ikke regne med, at det mål nås, hvis virksomhederne får lov at gøre som i dag – der skal andre metoder til.

”At nå op på blot 21,6 procent i en tid med digital transformation understøtter simpelthen kravet om markedsregulering,” lyder anbefalingen derfor i rapporten.

Rapporten fremhæver blandt andet Sony, Panasonic, Samsung, LG, Google, Microsoft, Dell, Lenovo, Amazon, Logitech og Apple som producenter, der sikrer, at deres produkter er udstyret med god sikkerhedspraksis. Udfordringen er blandt andet – udover at der er nye aktører på markedet – at forbrugerne køber billigere alternativer, der ikke har samme fokus på sikkerhed.

Netop markedsregulering af sikkerheden for IoT-produkter kommer i starten af næste år i EU. EU har netop vedtaget nye cybersikkerhedsregler og harmoniserede standarder for trådløse enheder, der træder i kraft i starten af 2022.

De nye lovkrav vil omfatte alle typer udstyr, der kan kommunikere via internettet, bortset fra visse former for medicinsk udstyr og flysystemer.

Se også: Nyheder om IoT og sikkerhed