Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Opið bréf til Miðflokksmanna Snorri Másson Skoðun Opnum Tröllaskagann Helgi Jóhannsson Skoðun Henti Íslandi undir strætisvagninn Hjörtur J. Guðmundsson Skoðun Jesús who? Atli Þórðarson Skoðun Landbúnaðarrúnk Hlédís Sveinsdóttir Skoðun Er lægsta verðið alltaf hagstæðast? Karen Ósk Nielsen Björnsdóttir Skoðun Eru Bændasamtökin á móti valdeflingu bænda? Ólafur Stephensen Skoðun Sýndu þér umhyggju – Komdu í skimun Ágúst Ingi Ágústsson Skoðun Lesskilningur eða lesblinda??? Jóhannes Jóhannesson Skoðun Forvarnateymi grunnskóla – góð hugmynd sem má ekki sofna Eydís Ásbjörnsdóttir Skoðun Skoðun Skoðun Ruben Amorim og sveigjanleiki – hugleiðingar sálfræðings Andri Hrafn Sigurðsson skrifar Skoðun Framtíðarsýn í samgöngumálum er mosavaxin Sigurður Páll Jónsson skrifar Skoðun Fimmta iðnbyltingin krefst svara – strax Sigvaldi Einarsson skrifar Skoðun Hefur þú skoðanir? Jóhannes Óli Sveinsson skrifar Skoðun Er hurð bara hurð? Sölvi Breiðfjörð skrifar Skoðun Reykjavíkurmódel á kvennaári Sóley Tómasdóttir skrifar Skoðun Ekki er allt sem sýnist Valerio Gargiulo skrifar Skoðun Sýndu þér umhyggju – Komdu í skimun Ágúst Ingi Ágústsson skrifar Skoðun Eru Bændasamtökin á móti valdeflingu bænda? Ólafur Stephensen skrifar Skoðun Er lægsta verðið alltaf hagstæðast? Karen Ósk Nielsen Björnsdóttir skrifar Skoðun Landbúnaðarrúnk Hlédís Sveinsdóttir skrifar Skoðun Jesús who? Atli Þórðarson skrifar Skoðun Opið bréf til Miðflokksmanna Snorri Másson skrifar Skoðun Lesskilningur eða lesblinda??? Jóhannes Jóhannesson skrifar Skoðun Henti Íslandi undir strætisvagninn Hjörtur J. Guðmundsson skrifar Skoðun Forvarnateymi grunnskóla – góð hugmynd sem má ekki sofna Eydís Ásbjörnsdóttir skrifar Skoðun Opnum Tröllaskagann Helgi Jóhannsson skrifar Skoðun Ávinningur af endurhæfingu – aukum lífsgæðin Ólafur H. Jóhannsson skrifar Skoðun Hefur þú heyrt þetta áður? Stefnir Húni Kristjánsson skrifar Skoðun Hringekja verðtryggingar og hárra vaxta Benedikt Gíslason skrifar Skoðun Áfram gakk – með kerfisgalla í bakpokanum Harpa Þorsteinsdóttir skrifar Skoðun Til þeirra sem fagna Doktornum! Kristján Freyr Halldórsson skrifar Skoðun Skuldin við úthverfin Jóhanna Dýrunn Jónsdóttir skrifar Skoðun Málgögn og gervigreind Steinþór Steingrímsson,Einar Freyr Sigurðsson,Helga Hilmisdóttir skrifar Skoðun Réttlæti hins sterka. Gildra dómarans Jörgen Ingimar Hansson skrifar Skoðun Einelti er dauðans alvara Kolbrún Áslaugar Baldursdóttir skrifar Skoðun Hafa íslenskir neytendur sama rétt og evrópskir? Ásthildur Lóa Þórsdóttir,Ragnar Þór Ingólfsson skrifar Skoðun Sótt að réttindum kvenna — núna Svandís Svavarsdóttir skrifar Skoðun Afnám tilfærslu milli skattþrepa Breki Pálsson skrifar Skoðun Þegar heilinn sveltur: Tími til að endurhugsa stefnu í geðheilbrigðismálum Vigdís M. Jónsdóttir skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Skoðun Málgögn og gervigreind Steinþór Steingrímsson,Einar Freyr Sigurðsson,Helga Hilmisdóttir skrifar
Skoðun Hafa íslenskir neytendur sama rétt og evrópskir? Ásthildur Lóa Þórsdóttir,Ragnar Þór Ingólfsson skrifar
Skoðun Þegar heilinn sveltur: Tími til að endurhugsa stefnu í geðheilbrigðismálum Vigdís M. Jónsdóttir skrifar