Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Mest lesið Ævinlega þakkláti flóttamaðurinn Zeljka Kristín Klobucar Skoðun Hjálp, barnið mitt spilar Roblox! Kristín Magnúsdóttir Skoðun Við þurfum ekki að loka landinu – við þurfum að opna augun Þorbjörg Sigríður Gunnlaugsdóttir Skoðun Leikrit Landsvirkjunar Snæbjörn Guðmundsson Skoðun Vér vesalingar Ingólfur Sverrisson Skoðun Líkindi með guðstrú og djöflatrú Gunnar Björgvinsson Skoðun Svona eða hinsegin, hvert okkar verður næst? Unnar Geir Unnarsson Skoðun Ákall til íslenskra stjórnmálamanna Magnús Árni Skjöld Magnússon Skoðun Reynisfjara og mannréttindasáttmáli Evrópu Róbert R. Spanó Skoðun Þurfum við virkilega „leyniþjónustu”? Helen Ólafsdóttir Skoðun Skoðun Skoðun Hjálp, barnið mitt spilar Roblox! Kristín Magnúsdóttir skrifar Skoðun Líkindi með guðstrú og djöflatrú Gunnar Björgvinsson skrifar Skoðun Ævinlega þakkláti flóttamaðurinn Zeljka Kristín Klobucar skrifar Skoðun Vér vesalingar Ingólfur Sverrisson skrifar Skoðun Leikrit Landsvirkjunar Snæbjörn Guðmundsson skrifar Skoðun Við þurfum ekki að loka landinu – við þurfum að opna augun Þorbjörg Sigríður Gunnlaugsdóttir skrifar Skoðun Svona eða hinsegin, hvert okkar verður næst? Unnar Geir Unnarsson skrifar Skoðun Reynisfjara og mannréttindasáttmáli Evrópu Róbert R. Spanó skrifar Skoðun Að hlúa að foreldrum: Forvörn sem skiptir máli Áróra Huld Bjarnadóttir skrifar Skoðun Ákall til íslenskra stjórnmálamanna Magnús Árni Skjöld Magnússon skrifar Skoðun Þurfum við virkilega „leyniþjónustu”? Helen Ólafsdóttir skrifar Skoðun Byrjað á öfugum enda! Hjálmtýr Heiðdal skrifar Skoðun Væri ekki hlaupið út aftur Hjörtur J. Guðmundsson skrifar Skoðun Gervigreind fyrir alla — en fyrir hvern í raun? Sigvaldi Einarsson skrifar Skoðun Hefur ítrekað hótað okkur áður Hjörtur J. Guðmundsson skrifar Skoðun Þjóðaratkvæðagreiðsla vegna umsóknar um aðild að ESB er stjórnsýslugrín! Júlíus Valsson skrifar Skoðun Bandaríkin voru alltaf vondi kallinn Karl Héðinn Kristjánsson skrifar Skoðun Erum við á leiðinni í hnífavesti? Davíð Bergmann skrifar Skoðun Ákall til umhverfis-, orku- og loftslagsráðherra að standa við gefin loforð Laura Sólveig Lefort Scheefer,Snorri Hallgrímsson,Sigurlaug Eir Beck Þórsdóttir,Jóhanna Malen Skúladóttir,Ida Karólína Harris,Antonia Hamann,Julien Nayet-Pelletier skrifar Skoðun Kæfandi klámhögg sveitarstjóra Jón Trausti Reynisson skrifar Skoðun Klár fyrir Verslunarmannahelgina? Ágúst Mogensen skrifar Skoðun Vegið að börnum í pólitískri aðför að ferðaþjónustunni Einar Freyr Elínarson skrifar Skoðun Hið tæra illa Gunnar Hólmsteinn Ársælsson skrifar Skoðun Ferðamannaiðnaður? Nei, ferðaþjónusta! Guðmundur Björnsson skrifar Skoðun Hæðarveiki og lyf Ari Trausti Guðmundsson skrifar Skoðun Landsvirkjun hafin yfir lög Björg Eva Erlendsdóttir skrifar Skoðun Fjárskipti við slit óvígðrar sambúðar: Meginreglur og frávik Sveinn Ævar Sveinsson skrifar Skoðun Þau eru framtíðin – en fá ekki að njóta nútímans Sigurður Kári skrifar Skoðun Greiðsla með Vísakorti tryggir ekki endurgreiðslu – forfallatryggingar gagnslausar þegar mest á reynir Erna Guðmundsdóttir skrifar Skoðun Hvers vegna þegir kristin, vestræn menning? Ómar Torfason skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Skoðun Við þurfum ekki að loka landinu – við þurfum að opna augun Þorbjörg Sigríður Gunnlaugsdóttir skrifar
Skoðun Þjóðaratkvæðagreiðsla vegna umsóknar um aðild að ESB er stjórnsýslugrín! Júlíus Valsson skrifar
Skoðun Ákall til umhverfis-, orku- og loftslagsráðherra að standa við gefin loforð Laura Sólveig Lefort Scheefer,Snorri Hallgrímsson,Sigurlaug Eir Beck Þórsdóttir,Jóhanna Malen Skúladóttir,Ida Karólína Harris,Antonia Hamann,Julien Nayet-Pelletier skrifar
Skoðun Fjárskipti við slit óvígðrar sambúðar: Meginreglur og frávik Sveinn Ævar Sveinsson skrifar
Skoðun Greiðsla með Vísakorti tryggir ekki endurgreiðslu – forfallatryggingar gagnslausar þegar mest á reynir Erna Guðmundsdóttir skrifar