Den britiske regering erklærer krig mod cyberkriminalitet: svage standard adgangskoder vil blive forbudt
I går fortalte Matt Warman, ministeren for Storbritanniens afdeling for digital, kultur, medier og sport (DCMS) The Telegraph, at han og hans team ønsker at gøre Det Forenede Kongerige til 'det sikreste sted at være online.' Dette lyder godt og godt, men spørg enhver politiker i ethvert land, og de vil fortælle dig nøjagtigt det samme om det land, de er ansvarlige for. Storbritanniens valgte embedsmænd mener imidlertid, at de ved, hvordan man gør det.
DCMS annoncerede, at det arbejder på et stykke lovgivning, der forbyder det britiske salg af IoT-enheder, der leveres med svage og standard adgangskoder. Afdelingen vil foreslå et lovforslag, som det håber, vil blive godt modtaget af parlamentsmedlemmerne og vil blive til en lov. "Så snart som muligt" var det tætteste på en ETA, som regeringen kunne komme med, hvilket ikke er en bundsolid tidsramme, men på den lyse side, når det sker, vil det bestemt være forbud mod standardadgangskoder i smarte gadgets gode nyheder, ikke?
Table of Contents
Den britiske regering forstår til en vis grad problemet
Den virkelig gode nyhed er, at flere og flere mennesker begynder at indse, hvad problemet er. Den uendelige bølge af internetforbundne gizmos har forvandlet vores hverdag, men den har uden tvivl haft en endnu dybere indflydelse på online trusselandskabet. Mange af IoT-kontroverserne, som vi køber af millioner, er utroligt lette at gå på kompromis med, og de kan fungere som et køretøj for alt fra (relativt) ufarlige pranks til forstyrrende DDoS-angreb og cyberstalking.
Det er ofte lige så let at hacke ind i en smart lyspære, en babymonitor eller et andet stykke IoT-teknologi som at bruge en specialiseret søgemaskine og google mærket og modellen for at få standard login-legitimationsoplysninger. I visse tilfælde er det at prøve enkle kombinationer som "123456" alt, hvad der er nødvendigt. DCMS mener, at forbud mod svage og standard adgangskoder kan gøre hackernes liv meget sværere. Men vil den foreslåede lovgivning virkelig have den ønskede virkning?
Standard og svage adgangskoder er kun en del af problemet
Standardadgangskoden er ofte hyldet som hovedårsagen til IoTs onde sikkerhed. Dette er (i det mindste delvist), fordi offentligheden har en lettere tid på at forstå, hvordan denne type angreb fungerer. Dette er også grunden til, at den let tilgængelige adgangskode er den første ting, lovgiverne går efter. Sandheden er dog, at så ofte som ikke, standard loginoplysningerne kun er en del af problemet.
Sidste år for eksempel udsendte Europa-Kommissionen en tilbagekaldelse af et parti af smartwatches til børn af hensyn til privatlivets fred. I det tilfælde var problemet ikke standardadgangskoden, men det faktum, at gadgetsne overførte store mængder følsom information uden at kryptere den på nogen måde. Der er en række andre eksempler, der ikke har noget at gøre med godkendelsesprocessen, men som stadig tjener som bevis på, hvor sikker sikkerheden for nogle IoT-enheder er.
Årsagerne til den aktuelle situation er temmelig klare for enhver, der har fulgt meget opmærksom på den såkaldte IoT-revolution. Sælgere er i et løb for at tilfredsstille et for nylig opdaget ønske om at forbinde hverdagens genstande til internettet så hurtigt og så billigt som muligt. Designer er skyndte og bygget på en skyderør, og fordi alle disse kontroverser antages at give en smule nyhed, er brugervenlighed prioriteret over ethvert privatliv eller sikkerhedsproblemer.
Den britiske regering ved vel, at problemet går ud over standardadgangskoden. Det foreslåede forbud mod enheder, der bruger svage loginoplysninger er en del af en bredere kode for bedste praksis vedrørende IoT-sikkerhed. Udarbejdet i 2018 og indeholder mange andre punkter, som i øjeblikket simpelthen er henstillinger. Hvis de bliver omdannet til en lov, bliver IoT-leverandører tvunget til at have offentlige platforme for rapportering af sårbarheder, og de kan muligvis endda være nødt til at begynde at lægge advarselsetiketter på deres produkter for at informere brugerne om, at smarte gadgets kan blive angrebet af hackere. Desværre er vi ikke sikre på, at selv dette ville være nok.
Sælgere og brugere skal begynde at tage sikkerhed mere alvorligt
IoT har allerede været i centrum for mere end et par større cybersikkerhedshændelser, og den britiske regering er ikke det første tilsynsorgan, der er klar over, at der skal gøres noget. Faktisk blev en lov, der forbød brug af standard adgangskoder vedtaget i staten Californien allerede i 2018, og den 1. januar trådte den i kraft. Vi har endnu ikke set, hvor effektiv det vil være, men vi er temmelig sikre på, at andre lokale og nationale regeringer også følger efter.
Problemet er, lovgivning kan kun komme dig så langt. Antallet af faktorer, der styrer sikkerheden for en enkelt IoT-enhed, er forbløffende, og det er bare ikke muligt at regulere dem alle. Hvis situationen skal forbedres, har vi brug for en grundlæggende ændring i den måde, både leverandører og brugere tænker på.
Selv hvis vi antager, at de nylige love vil opfordre producenterne til at komme med et mere sikkert login-system, vil der ikke være noget, der forhindrer dem i at bygge resten af deres backend-infrastruktur på den hurtigste, billigste og mest usikre måde muligt. De gabende sikkerhedshuller, der findes i mange IoT-kontraktioner, viser, at nogle leverandører skal indse, at de er ansvarlige for at holde deres kunder sikre og omarrangere deres prioritetslister i overensstemmelse hermed. Når det er sagt, kan vi ikke lægge al skylden på leverandører.
Den "det vil ikke ske med mig" -mentalitet, som mange mennesker har vedtaget, gør os ingen favoriserer. IoT-leverandører har en tendens til at sende deres produkter med en standardadgangskode, fordi det gør installation af en enhed for første gang lettere og hurtigere. De inkluderer også en facilitet, der tillader at ændre standardadgangskoden, selvom den enkle kendsgerning er, at mange kunder ikke bruger det.
Pointen med IoT er kun at bringe positive ændringer i vores liv, men det er temmelig klart, at det i sin nuværende form også skaber nogle problemer. Britiske og californiske lovgivere forsøger at løse nogle af dem, men den virkelige ændring kan kun komme fra de mennesker, der designer og bruger de smarte enheder.
