Vänta inte tills kunderna kräver skärpt IoT-säkerhet

I en artikel i Computer Sweden tidigare i år konstaterar Cisco att säkerhet inte är, för att utrycka sig milt, en högt prioriterad fråga hos IoT-leverantörer. Cisco hade exempelvis informerat en leverantör om tre olika säkerhetshål vilket tog denne hela tre år (!) att åtgärda.

Den slapphänta inställningen till säkerhet är tyvärr utbredd. Jag har själv erfarenhet av leverantörer med uppenbart bristande säkerhet i sina produkter, både vad gäller säkerhetsfunktioner men även hur rutinerna för uppdateringar ser ut.

Hur kommer detta sig?

En anledning är så klart att leverantörerna är ovana. Många har tidigare utvecklat system som inte har varit uppkopplade och hotbilden mot dessa har därför varit låg. Säkerhetsarbetet hos flera av dagens IoT-leverantörer är därför så pass outvecklat att de kanske inte ens inser att de har ett problem. Tyvärr krävs många gånger att något katastrofalt händer för att företagen ska vakna till.

Men det stora problemet är egentligen inte om leverantörerna är medvetna om problemet – i fallet ovan tog det leverantören tre år att åtgärda de säkerhetsproblem som Cisco hade beskrivit för företaget. Nej, problemet är ofta att slutkunderna inte är medvetna om säkerhetshoten.

 Denna inställning måste förändras när vi nu har tagit steget in i det uppkopplade samhället. Vi konsumenter måste vara medvetna om vilka risker vi utsätter oss för. Vi kanske till och med måste fundera över om vi tycker att det är värt det. I takt med att konsumentens medvetande och kunskap om säkerhet och integritet ökar, kommer också kraven mot leverantörerna att öka. Därför vill jag uppmana branschen att rannsaka säkerheten hos sina lösningar för att ligga steget före.

 I ett tidigare inlägg här på Linkedin – ”IoT-säkerheten måste omvärderas” – beskriver jag översiktligt en process för att utveckla säkra IoT-system. Men om man inte känner sig mogen för att införa en sådan process är mitt tips att åtminstone samla några av de mest kreativa medarbetarna på företaget för att tillsammans hålla en endagsworkshop där man fritt diskuterar hur ens produkt eller system skulle kunna missbrukas av en angripare och vilka risker detta utsätter ens kunder för.