Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Kynntu þér reglur ritstjórnar um skoðanagreinar. Senda grein Netöryggi Mest lesið Af hverju fer sérsveitin í fleiri útköll? Davíð Bergmann Skoðun Þrír forstjórar sem margfalla á staðreyndaprófinu Jón Kaldal Skoðun Hin hagsýna húsmóðir ársins 2026 Alma Dóra Ríkarðsdóttir Skoðun Stefnum á svikalaust sumarfrí - það er skemmtilegra Heiðrún Jónsdóttir Skoðun Baldur til Eyja og við borgum Sigríður Jóhannesdóttir,Sæþór Þorbergsson Skoðun Byssur bæta ekki heiminn Ebba Margrét Magnúsdóttir Skoðun Nei eða já? Vilborg Gunnarsdóttir Skoðun „Sprúttsalar“, lög sem gilda… þegar hentar Þráinn Farestveit Skoðun Saga úr heilbrigðiskerfi okkar Íslendinga Magnea Gunnarsdóttir Skoðun Ef Ísland væri gosdrykkur Geir Gígja Skoðun Skoðun Skoðun Ævisaga krónunnar Gestur Valgarðsson skrifar Skoðun Er Ísland með landslið í fótbolta? Jón Páll Haraldsson skrifar Skoðun Hví ekki að velja eitthvað ódýrara en evru? Jóhann Óli Eiðsson skrifar Skoðun Ef Ísland væri gosdrykkur Geir Gígja skrifar Skoðun Af hverju fer sérsveitin í fleiri útköll? Davíð Bergmann skrifar Skoðun Frá leikgleði til afreka Willum Þór Þórsson skrifar Skoðun Ekki éta útsæðið Jóhannes Þór Skúlason skrifar Skoðun Stefnum á svikalaust sumarfrí - það er skemmtilegra Heiðrún Jónsdóttir skrifar Skoðun Hin hagsýna húsmóðir ársins 2026 Alma Dóra Ríkarðsdóttir skrifar Skoðun Réttarríki fyrir lengra komna Arnar Sigurðsson skrifar Skoðun Hvað er að því að vera heimsborgari? Gunnar Salvarsson skrifar Skoðun Nei eða já? Vilborg Gunnarsdóttir skrifar Skoðun Þegar sauðfé verður á vegi okkar Eyjólfur Ingvi Bjarnason skrifar Skoðun Það skiptir máli að velja rétta séreign Harpa Jónsdóttir skrifar Skoðun Svartir svanir á Reykjanesi Böðvar Tómasson skrifar Skoðun „Sprúttsalar“, lög sem gilda… þegar hentar Þráinn Farestveit skrifar Skoðun Byssur bæta ekki heiminn Ebba Margrét Magnúsdóttir skrifar Skoðun Með vinnuna í vasanum? Hrafnkell Tumi Kolbeinsson skrifar Skoðun Saga úr heilbrigðiskerfi okkar Íslendinga Magnea Gunnarsdóttir skrifar Skoðun Baldur til Eyja og við borgum Sigríður Jóhannesdóttir,Sæþór Þorbergsson skrifar Skoðun Þrír forstjórar sem margfalla á staðreyndaprófinu Jón Kaldal skrifar Skoðun Góðar fréttir af almenningssamgöngum Davíð Þorláksson skrifar Skoðun Uppgjör við víkinga öld elítunnar - Hvernig siðmenntuð þjóð rís upp úr sjálfskaparvíti spillingar Sigurður Sigurðsson skrifar Skoðun Getur Evrópusinni af hugsjón sannfært hrædda þjóð? Sigurjón Ólafsson skrifar Skoðun Frekjukallar fyrr og nú Arnar Sigurðsson skrifar Skoðun Forréttindafólk sem segir nei Margrét Guðmundsdóttir skrifar Skoðun Saga frá Svíþjóð - Lífskjör mælast ekki í vaxtaprósentum Berglind Ragnarsdóttir skrifar Skoðun Ekki nóg að telja milljarðana: Árangur verður að mælast Eyþór Eðvarðsson skrifar Skoðun Ljósmyndarinn á öld gervigreindar Kristján Logason skrifar Skoðun Þegar skattfé velur búsetu Hjálmar Bogi Hafliðason skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Skoðun Uppgjör við víkinga öld elítunnar - Hvernig siðmenntuð þjóð rís upp úr sjálfskaparvíti spillingar Sigurður Sigurðsson skrifar