Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Er skynsemi Sigmundar Davíðs o.fl. skynsamleg? Ole Anton Bieltvedt Skoðun Ráðherrann Gísli Hvanndal Jakobsson Skoðun Það er allt í lagi að vera þú sjálfur - Opið bréf til Snorra Mássonar Kári Stefánsson Skoðun Nándarhryðjuverk er mannréttindabrot sem fær lítil viðbrögð frá samfélaginu Birna Sól Daníelsdóttir, Helga Benediktsdóttir,Telma Lísa Elmarsdóttir Skoðun Alvöru aðgerðir í húsnæðismálum – x við V Svandís Svavarsdóttir Skoðun Willum Þór – fyrir konur Heiðdís Geirsdóttir,Halla Karen Kristjánsdóttir,Hjördís Guðný Guðmundsdóttir Skoðun Sjálfskaparvíti Samfylkingar og Viðreisnar Birta Karen Tryggvadóttir Skoðun Baráttan um Ísland og sjálfstæði þjóðar Ragnar Þór Ingólfsson Skoðun Foreldrar, ömmur og afar þessa lands - áskorun til ykkar! Ragnheiður Stephensen Skoðun Af hverju kýs ég Samfylkinguna? Guðmundur Ingi Þóroddsson Skoðun Skoðun Skoðun Samfylkingin hafnar einkavæðingu í skólakerfinu Arnór Heiðar Benónýsson,Anna María Jónsdóttir skrifar Skoðun Sjálfskaparvíti Samfylkingar og Viðreisnar Birta Karen Tryggvadóttir skrifar Skoðun Evrópudagur sjúkraliða Sandra B. Franks skrifar Skoðun Baráttan um Ísland og sjálfstæði þjóðar Ragnar Þór Ingólfsson skrifar Skoðun Alvöru aðgerðir í húsnæðismálum – x við V Svandís Svavarsdóttir skrifar Skoðun Er skynsemi Sigmundar Davíðs o.fl. skynsamleg? Ole Anton Bieltvedt skrifar Skoðun Ráðherrann Gísli Hvanndal Jakobsson skrifar Skoðun Nándarhryðjuverk er mannréttindabrot sem fær lítil viðbrögð frá samfélaginu Birna Sól Daníelsdóttir, Helga Benediktsdóttir,Telma Lísa Elmarsdóttir skrifar Skoðun Willum Þór – fyrir konur Heiðdís Geirsdóttir,Halla Karen Kristjánsdóttir,Hjördís Guðný Guðmundsdóttir skrifar Skoðun Af hverju kýs ég Samfylkinguna? Guðmundur Ingi Þóroddsson skrifar Skoðun Uppeldi, færni til framtíðar - fór í skúffu stjórnvalda! Una María Óskarsdóttir skrifar Skoðun Við sem förum til Tenerife - Vaxta og húsnæðispyntingar á almenningi komið frá lífeyrissjóðum og leigufélögum Hreinn Pétursson skrifar Skoðun Hvar eru málefni barna og ungs fólks? Gunnar E. Sigurbjörnsson skrifar Skoðun Þetta með verðgildin Matthildur Björnsdóttir skrifar Skoðun Stöndum með trans börnum og foreldrum þeirra! Birna Guðmundsdóttir,Elín Oddný Sigurðardóttir,Ynda Eldborg skrifar Skoðun Ég á ‘etta, ég má ‘etta Jón Ármann Steinsson skrifar Skoðun Dómsmálið sem gæti kippt grunninum undan Heidelberg-verksmiðjunni Jón Hjörleifur Stefánsson skrifar Skoðun Viljum við sósíalisma? Reynir Böðvarsson skrifar Skoðun Það er allt í lagi að vera þú sjálfur - Opið bréf til Snorra Mássonar Kári Stefánsson skrifar Skoðun Rjúfum kyrrstöðu í vegaframkvæmdum um allt land G.Svana Sigurjónsdóttir skrifar Skoðun Lýðheilsa bænda Unnur Rán Reynisdóttir,Arnar Páll Gunnlaugsson skrifar Skoðun Hvenær á að skattleggja lífeyri? Inn eða út? Ragnar Þór Ingólfsson skrifar Skoðun Glasið er hálffullt Ingveldur Anna Sigurðardóttir skrifar Skoðun Skilvirkari og einfaldari stjórnsýsla í þágu almennings Guðlaugur Þór Þórðarson skrifar Skoðun Gervilíf Geir Gunnar Markússon skrifar Skoðun Málsvari hinsegin samfélagsins og mannréttinda Guðmundur Ingi Guðbrandsson skrifar Skoðun Framtíð til sölu Júlíus Kristjánsson skrifar Skoðun Kona, vertu ekki fyrir! Elín Björg Jónsdóttir,Halldóra Sigríður Sveinsdóttir,Hrafnhildur Lilja Harðardóttir skrifar Skoðun Hagsmunir Evrópu í orkumálum stangast á við okkar hagsmuni Magnús Gehringer skrifar Skoðun Eitt lag enn með Lilju Hópur óperusöngvara skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Nándarhryðjuverk er mannréttindabrot sem fær lítil viðbrögð frá samfélaginu Birna Sól Daníelsdóttir, Helga Benediktsdóttir,Telma Lísa Elmarsdóttir Skoðun
Willum Þór – fyrir konur Heiðdís Geirsdóttir,Halla Karen Kristjánsdóttir,Hjördís Guðný Guðmundsdóttir Skoðun
Skoðun Samfylkingin hafnar einkavæðingu í skólakerfinu Arnór Heiðar Benónýsson,Anna María Jónsdóttir skrifar
Skoðun Nándarhryðjuverk er mannréttindabrot sem fær lítil viðbrögð frá samfélaginu Birna Sól Daníelsdóttir, Helga Benediktsdóttir,Telma Lísa Elmarsdóttir skrifar
Skoðun Willum Þór – fyrir konur Heiðdís Geirsdóttir,Halla Karen Kristjánsdóttir,Hjördís Guðný Guðmundsdóttir skrifar
Skoðun Við sem förum til Tenerife - Vaxta og húsnæðispyntingar á almenningi komið frá lífeyrissjóðum og leigufélögum Hreinn Pétursson skrifar
Skoðun Stöndum með trans börnum og foreldrum þeirra! Birna Guðmundsdóttir,Elín Oddný Sigurðardóttir,Ynda Eldborg skrifar
Skoðun Dómsmálið sem gæti kippt grunninum undan Heidelberg-verksmiðjunni Jón Hjörleifur Stefánsson skrifar
Skoðun Það er allt í lagi að vera þú sjálfur - Opið bréf til Snorra Mássonar Kári Stefánsson skrifar
Skoðun Kona, vertu ekki fyrir! Elín Björg Jónsdóttir,Halldóra Sigríður Sveinsdóttir,Hrafnhildur Lilja Harðardóttir skrifar
Nándarhryðjuverk er mannréttindabrot sem fær lítil viðbrögð frá samfélaginu Birna Sól Daníelsdóttir, Helga Benediktsdóttir,Telma Lísa Elmarsdóttir Skoðun
Willum Þór – fyrir konur Heiðdís Geirsdóttir,Halla Karen Kristjánsdóttir,Hjördís Guðný Guðmundsdóttir Skoðun