Storbritanniens regering förklarar krig mot cyberbrott: svaga standardlösenord kommer att förbjudas
I går sa Matt Warman, ministeren för Storbritanniens avdelning för digital, kultur, media och sport (DCMS), The Telegraph att han och hans team vill förvandla Storbritannien till "den säkraste platsen att vara online." Det låter bra och bra, men fråga alla politiker i vilket land som helst, så kommer de att berätta exakt samma sak om det land som de ansvarar för. Storbritanniens valda tjänstemän tror dock att de vet hur man gör det.
DCMS meddelade att det arbetar med en lagstiftning som förbjuder Storbritanniens försäljning av IoT-enheter som har svaga och standardlösenord. Avdelningen kommer att föreslå ett lagförslag som, hoppas det, kommer att tas väl emot av parlamentsledamöter och omvandlas till en lag. "Så snart som möjligt" var närmast en ETA som regeringen kunde komma med, vilket inte exakt är en bunnsolid tidsram, men på den ljusa sidan, närhelst det händer, kommer det helt säkert att förbjuda standardlösenord i smarta prylar goda nyheter, eller hur?
Table of Contents
Den brittiska regeringen förstår problemet till viss del
De riktigt goda nyheterna är att fler och fler människor börjar inse vad frågan är. Den oändliga vågen av internetanslutna gizmos har förvandlat våra vardagsliv, men det har utan tvekan haft en ännu djupare effekt på onlinehotet. Många av IoT-kontroverserna som vi köper av miljoner är otroligt enkla att kompromissa med, och de kan fungera som ett fordon för allt från (relativt) ofarliga prankar till störande DDoS-attacker och cyberstalking.
Det är ofta lika enkelt att hacka till en smart glödlampa, en babymonitor eller en annan IoT-teknik som att använda en specialiserad sökmotor och googla märket och modellen för att få standardinloggningsuppgifter. I vissa fall är det allt som behövs för att testa enkla kombinationer som "123456". DCMS anser att förbjudning av svaga lösenord och standardlösenord kan göra hackarnas liv mycket svårare. Men kommer den föreslagna lagstiftningen verkligen att ha önskad effekt?
Standard- och svaga lösenord är bara en del av problemet
Standardlösenordet har ofta hyllats som det främsta skälet till IoT: s sorgfulla säkerhet. Detta är (åtminstone delvis) eftersom allmänheten har en lättare tid att förstå hur denna typ av attack fungerar. Detta är också anledningen till att det lättillgängliga lösenordet är det första som lagstiftarna kommer efter. Sanningen är dock att så ofta som inte är standardinloggningsuppgifterna bara en del av problemet.
Förra året, till exempel, utfärdade Europeiska kommissionen en återkallelse för ett parti av smartwatches för barn avseende integritetsproblem. I det fallet var problemet inte standardlösenordet, utan det faktum att prylarna överförde stora volymer känslig information utan att kryptera den på något sätt. Det finns ett antal andra exempel som inte har något att göra med autentiseringsprocessen men som fortfarande fungerar som bevis på hur dålig säkerhet för vissa IoT-enheter är.
Orsakerna till den aktuella situationen är ganska tydliga för alla som har varit uppmärksamma på den så kallade IoT-revolutionen. Säljare är i en kapplöpning för att tillfredsställa en nyligen upptäckt önskan att ansluta vardagliga artiklar till internet så snabbt och så billigt som möjligt. Konstruktioner är rusade och byggda på en shoestring, och eftersom alla dessa kontroverser är tänkta att ge lite nyhet, är användarvänlighet prioriterad över alla sekretess- eller säkerhetsproblem.
Storbritanniens regering vet att problemet går utöver standardlösenordet. Det föreslagna förbudet för enheter som använder svaga inloggningsuppgifter är en del av en bredare kod för bästa praxis för IoT-säkerhet. Utarbetad 2018 och innehåller en hel del andra punkter som för tillfället helt enkelt är rekommendationer. Om de förvandlas till en lag kommer IoT-leverantörer att tvingas ha offentliga rapporteringsplattformar för sårbarhet, och de kan till och med behöva börja sätta varningsetiketter på sina produkter för att informera användare om att smarta prylar kan attackeras av hackare. Tyvärr är vi inte säkra på att även detta skulle räcka.
Leverantörer och användare måste börja ta säkerheten mer på allvar
IoT har redan varit i centrum för mer än några få stora cybersäkerhetshändelser, och den brittiska regeringen är inte det första tillsynsmyndigheten som inser att något måste göras. I själva verket antogs en lag som förbjuder användning av standardlösenord i delstaten Kalifornien redan 2018 och den 1 januari trädde den i kraft. Vi har ännu inte sett hur effektiv det blir, men vi är ganska säkra på att andra lokala och nationella regeringar också kommer att följa efter.
Problemet är att lagstiftning bara kan ta dig så långt. Antalet faktorer som styr säkerheten för en enda IoT-enhet är förbluffande, och det är bara inte möjligt att reglera dem alla. Om situationen ska förbättras behöver vi en grundläggande förändring i hur både leverantörer och användare tänker.
Även om vi antar att de senaste lagarna kommer att uppmana tillverkarna att komma med ett säkrare inloggningssystem kommer det inget att hindra dem från att bygga resten av sin backend-infrastruktur på det snabbaste, billigaste och mest osäkra sättet. De gapande säkerhetshålen som finns i många IoT-kontroverser visar att vissa leverantörer måste inse att de är ansvariga för att hålla sina kunder säkra och ordna om sina prioriteringslistor i enlighet därmed. Med det sagt kan vi inte lägga all skylden på leverantörerna.
Den "det kommer inte att hända med mig" mentalitet som många har antagit gör oss inga fördelar. IoT-leverantörer tenderar att leverera sina produkter med ett standardlösenord eftersom det gör att en enhet för första gången blir enklare och snabbare. De innehåller också en anläggning som gör att standardlösenordet ändras, och det enkla faktum är att många kunder inte använder det.
Poängen med IoT är att bara ge positiva förändringar i våra liv, men det är ganska tydligt att det i sin nuvarande form också orsakar vissa problem. Brittiska och kaliforniska lagstiftare försöker lösa några av dem, men den verkliga förändringen kan bara komma från de människor som designar och använder smarta enheter.
