Med mindre du har ridd kameler i Mongolia eller gått fotturer i Andesfjellene de siste årene, har du sikkert fått med deg at Internet of Things, eller IoT, har kommet for å bli.

Tusenvis av bedrifter ser verdien og potensialet i at maskiner og utstyr kan kobles til internett for å rapportere status, slitasjenivåer, behov for ettersyn og produksjonsdata.

Ifølge Gartner var rundt 6,5 milliarder enheter koblet til IoT ved utgangen av 2016, og forventes å nå rundt 26 milliarder enheter innen 2020. Man kan trygt si at IoT berører nesten hvert eneste aspekt av vår hverdag.

Store sikkerhetsutfordringer med IoT

Samtidig fører IoT også med seg store sikkerhetsutfordringer: vi må forsikre at produkter og tjenester er trygge, og at dataene som strømmer gjennom systemet er ikke kompromitteres. «Det er betydelige risikoer knyttet til IoT,» sier Cato Evensen, regional salgssjef i Palo Alto Networks Norge. «Sikkerhetshull knyttet til IoT kan føre til tap av forbrukerdata, åndsverk og omdømme, samt føre til betydelige driftsavbrudd.»

Mange tar for lett på IoT-sikkerheten

Det er derfor urovekkende at mange bedrifter fortsatt tar for lett på sikkerheten, samt tilbyr IoT-produkter og -tjenester uten nødvendig sikkerhet. «Altfor ofte mangler bedrifter en helhetlig tilnærming til IT-sikkerhet og IoT,» sier Evensen. «Produkter lanseres uten nødvendige sikkerhetsfunksjoner.»

Ifølge en 2017-rapport utført av LogMeIn og SecurityLedger med amerikanske bedrifter, sier 51 prosent av deltagerne at selskapene deres planlegger å utvikle IoT-produkter, og 23 prosent sier at selskapene deres allerede leverer IoT-produkter. Allikevel rangerte kun 30 prosent av de ansatte i disse bedriftene sikkerhet som en av sine topp-prioriteter.

Rapporten slår også fast at sikkerhetsarbeidet gjerne setter eksterne trusler, som hackere og dataangrep, i fokus, mens toppledere nedprioriterer interne utfordringer, som svak autentisering, dårlig databeskyttelse, og manglende interne retningslinjer for IT-sikkerhet. Det er viktig å erkjenne en grunnleggende sannhet om IoT: «Sikkerhetstrusler oppstår like fullt fra interne som eksterne kilder,» påpeker Evensen i Palo Alto Networks Norge.

Fire punkter du bør prioritere for å sikre IoT-løsninger

1. Ta utgangspunkt i dataene

Det er fristende å takle sikkerheten til hver enkelt IoT-komponent hver for seg. Beste praksis for å sikre IoT-produkter, er imidlertid å sikre dataene som strømmer gjennom systemet, fremfor å sikre enkeltkomponenter.

«Ettersom sensorer og IoT-komponenter blir flere og flere og mer og mer sentrale for bedriften, så blir det også umulig å takle sikkerhetsutfordringene enkeltvis,» sier Cato Evensen.

«Man må fokusere på dataene, inkludert hvem som eier de, hvordan de brukes, og hvor de ender opp.» Ved å kartlegge datastrømmene kan man ta en mer helhetlig tilnærming til IoT-sikkerhet. «Feiler du på dette området, risikerer du tap av kundedata og omdømme.»

2.     Personvern spiller en stor rolle

Personvern er mer nyansert enn mange ledere har tatt inn over seg. Det omfatter mer enn bare fødselsnummer, e-postadresser og kredittkortnummer. Det handler, for eksempel, også om å se hvor en person er til enhver tid, hvor de er på vei og hva de gjør», forklarer Evensen.

Etterhvert som flere datakilder blir tilgjengelige, og dataanalytikere utvikler kraftigere analyseverktøy, kan vi i større grad avdekke personlige og sensitive data om en persons liv, helse og sinnstilstand. Med data fra Fitbit´er, mobillogger og klikkaktivitet, kan man allerede lese mye inn i en persons liv.

Det er også viktig å være klar over den økende risikoen for at personlig data stjeles og brukes på en uetisk måte, eller til å kreve løsepenger fra enkeltpersoner og selskaper. «De juridiske og økonomiske konsekvensene er meget alvorlige,» sier Evensen.

3. Endepunktsikkerhet må bygges inn fra starten

Overraskende mange IoT-produkter og -tjenester er bygd på utdaterte operativsystemer og software. Sikkerhet er ikke bygd inn fra starten. «Altfor ofte oppdateres ikke sikkerheten automatisk. Man er avhengige av manuelle oppdateringer», sier Cato Evensen i Palo Alto Networks. «Problemet er at manuelle oppdateringer ofte ikke gjøres».

Evensen er klar på at sikkerhet må være i fokus gjennom hele utviklingsprosessen; fra design til produksjon. Det holder ikke å tenke på sikkerhet i etterkant. «Ledere må sette sikkerhet i fokus. Det er altfor enkelt å få hastverk med å lansere nye produkter, uten at produktet sikres på en god måte», advarer Evensen.

4. Nettverksikkerheten er like viktig som endepunktsikkerheten

Man overser ofte at fantastisk endepunktsikkerhet er null verdt, hvis nettverksikkerheten ikke er god nok. Hvis hackere får tilgang til systemet og til data – via svak autentisering, dårlig kryptering, eller andre årsaker – er risikoen desto større.

APIer og skyløsninger muliggjør nye typer samarbeid og deling av data med tredjeparter. Samtidig får ansatte i økende grad tilgang til bedriftsepost og -systemer på private mobiler. Denne utviklingen skaper helt nye utfordringer rundt IT-sikkerhet. Behovet for omfattende tiltak, fra retningslinjer for ansatte til oppdaterte sikkerhetsløsninger, er åpenbart.

Toppledelse og styret har en viktig rolle

Det er også behov for urokkelig støtte fra toppledelsen og styret, samt tilstrekkelige investeringer. «Ledere på øverste nivå må ta IoT-risiko på alvor. Ellers åpner de seg for betydelige negative konsekvenser, inkludert tap av kundedata, åndsverk og omdømme», understreker Evensen.

Hva bør ledere og styret gjøre? Evensen mener at det viktigste og mest grunnleggende er å skape forståelse for utfordringene og risikoene rundt cybersikkerhet og IoT. Det er viktig å fokusere på mer enn lover/regler og compliance. Man må lære opp hele organisasjonen, fra utviklere til markedsføring og salg og hele veien til toppledelsen.

Til sist, i en IoT-verden, der alt er koblet til nettet, må sikkerhet omfatte hele virksomheten. «Sikkerhet må bygges inn fra starten», avslutter Evensen.