Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Kynlíf veldur einhverfu: Opið bréf til Háskóla Íslands og fjölmiðla Guðlaug Svala Kristjánsdóttir,Margrét Oddný Leópoldsdóttir Skoðun Deyr mjólkurkýrin ef eigandi hennar fær eitt viðbótar mjólkurglas? Þórður Snær Júlíusson Skoðun Er þetta í alvöru umdeild skoðun fámenns hóps? Snorri Másson Skoðun Réttur til endurtektarprófa: Jafnræði í námi fyrir alla stúdenta Vera Mist Magnúsdóttir,Guðlaug Eva Albertsdóttir Skoðun Aðför að landsbyggðinni – og tilraun til að slá ryki í augu almennings Ingibjörg Isaksen Skoðun Getur Sturlunga snúið aftur? Leifur B. Dagfinnsson Skoðun Ákvarðanir teknar í Reykjavík – afleiðingarnar skella á okkur Hópur Framsóknarmanna í sveitarstjórnum Skoðun „Þessu er alltaf lofað fyrir kosningar en alltaf svikið“ Jóhann Páll Jóhannsson Skoðun Liðveisla fyrir öll Atli Már Haraldsson Skoðun Áskorun til Félags íslenskra hjúkrunarfræðinga og Háskóla Íslands Ríkharður Ólafsson,Styrmir Hallsson Skoðun Skoðun Skoðun Mælt fyrir miklum kjarabótum öryrkja og aldraðra Inga Sæland skrifar Skoðun Mannréttindabrot og stríðsglæpir Rússa í Úkraínu Erlingur Erlingsson skrifar Skoðun Áskorun til Félags íslenskra hjúkrunarfræðinga og Háskóla Íslands Ríkharður Ólafsson,Styrmir Hallsson skrifar Skoðun Ákvarðanir teknar í Reykjavík – afleiðingarnar skella á okkur Hópur Framsóknarmanna í sveitarstjórnum skrifar Skoðun Snjallborgin eða Skuggaborgin Reykjavík: Gervigreindarknúið höfuðborgarsvæði Björgmundur Örn Guðmundsson skrifar Skoðun Getur Sturlunga snúið aftur? Leifur B. Dagfinnsson skrifar Skoðun Vaka stendur með Menntavísindasviði í verki Gunnar Ásgrímsson skrifar Skoðun Vorbókaleysingar Henry Alexander Henrysson skrifar Skoðun Er þetta í alvöru umdeild skoðun fámenns hóps? Snorri Másson skrifar Skoðun Liðveisla fyrir öll Atli Már Haraldsson skrifar Skoðun Réttur til endurtektarprófa: Jafnræði í námi fyrir alla stúdenta Vera Mist Magnúsdóttir,Guðlaug Eva Albertsdóttir skrifar Skoðun Að standa við stóru orðin Guðmundur Ari Sigurjónsson skrifar Skoðun Aðför að landsbyggðinni – og tilraun til að slá ryki í augu almennings Ingibjörg Isaksen skrifar Skoðun Deyr mjólkurkýrin ef eigandi hennar fær eitt viðbótar mjólkurglas? Þórður Snær Júlíusson skrifar Skoðun Kynlíf veldur einhverfu: Opið bréf til Háskóla Íslands og fjölmiðla Guðlaug Svala Kristjánsdóttir,Margrét Oddný Leópoldsdóttir skrifar Skoðun Ég virði þig og þín mörk, virðir þú mig og mín mörk ? Rakel Linda Kristjánsdóttir skrifar Skoðun „Þessu er alltaf lofað fyrir kosningar en alltaf svikið“ Jóhann Páll Jóhannsson skrifar Skoðun Þjóðaröryggi að vera aðildarríki að Evrópusambandinu Jón Frímann Jónsson skrifar Skoðun Fullvalda utan sambandsríkja Hjörtur J. Guðmundsson skrifar Skoðun Sagnaarfur Biblíunnar - Salómonsdómur, lög og ólög Sigurvin Lárus Jónsson skrifar Skoðun Sjálfstæðir grunnskólar í hættu Benedikt S. Benediktsson skrifar Skoðun Borgaralegur vígbúnaður Dr. Bjarni Már Magnússon skrifar Skoðun Áskoranir og tækni í heilbrigðisþjónustu Teitur Guðmundsson skrifar Skoðun Ósunginn óður til doktorsnema Styrmir Hallsson skrifar Skoðun Frjáls umræða ekki lengur leyfð í USA – Skoðanafrelsi í hættu – Amerískt Gestapo í uppsiglingu? Ole Anton Bieltvedt skrifar Skoðun Tannhjól í mulningsvél? Arnar Þór Jónsson skrifar Skoðun Fækkum kennurum um 90% Björgmundur Örn Guðmundsson skrifar Skoðun Uppsagnarbréf til góða fólksins Daníel Freyr Jónsson skrifar Skoðun Kristni og íslam: Samfélag sem hvílir á skilningi Skúli S. Ólafsson skrifar Skoðun Hugtakastríðið mikla Sigmar Guðmundsson skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Kynlíf veldur einhverfu: Opið bréf til Háskóla Íslands og fjölmiðla Guðlaug Svala Kristjánsdóttir,Margrét Oddný Leópoldsdóttir Skoðun
Réttur til endurtektarprófa: Jafnræði í námi fyrir alla stúdenta Vera Mist Magnúsdóttir,Guðlaug Eva Albertsdóttir Skoðun
Ákvarðanir teknar í Reykjavík – afleiðingarnar skella á okkur Hópur Framsóknarmanna í sveitarstjórnum Skoðun
Áskorun til Félags íslenskra hjúkrunarfræðinga og Háskóla Íslands Ríkharður Ólafsson,Styrmir Hallsson Skoðun
Skoðun Áskorun til Félags íslenskra hjúkrunarfræðinga og Háskóla Íslands Ríkharður Ólafsson,Styrmir Hallsson skrifar
Skoðun Ákvarðanir teknar í Reykjavík – afleiðingarnar skella á okkur Hópur Framsóknarmanna í sveitarstjórnum skrifar
Skoðun Snjallborgin eða Skuggaborgin Reykjavík: Gervigreindarknúið höfuðborgarsvæði Björgmundur Örn Guðmundsson skrifar
Skoðun Réttur til endurtektarprófa: Jafnræði í námi fyrir alla stúdenta Vera Mist Magnúsdóttir,Guðlaug Eva Albertsdóttir skrifar
Skoðun Aðför að landsbyggðinni – og tilraun til að slá ryki í augu almennings Ingibjörg Isaksen skrifar
Skoðun Deyr mjólkurkýrin ef eigandi hennar fær eitt viðbótar mjólkurglas? Þórður Snær Júlíusson skrifar
Skoðun Kynlíf veldur einhverfu: Opið bréf til Háskóla Íslands og fjölmiðla Guðlaug Svala Kristjánsdóttir,Margrét Oddný Leópoldsdóttir skrifar
Skoðun Frjáls umræða ekki lengur leyfð í USA – Skoðanafrelsi í hættu – Amerískt Gestapo í uppsiglingu? Ole Anton Bieltvedt skrifar
Kynlíf veldur einhverfu: Opið bréf til Háskóla Íslands og fjölmiðla Guðlaug Svala Kristjánsdóttir,Margrét Oddný Leópoldsdóttir Skoðun
Réttur til endurtektarprófa: Jafnræði í námi fyrir alla stúdenta Vera Mist Magnúsdóttir,Guðlaug Eva Albertsdóttir Skoðun
Ákvarðanir teknar í Reykjavík – afleiðingarnar skella á okkur Hópur Framsóknarmanna í sveitarstjórnum Skoðun
Áskorun til Félags íslenskra hjúkrunarfræðinga og Háskóla Íslands Ríkharður Ólafsson,Styrmir Hallsson Skoðun