Underprioriterat säkerhetsarbete i vägen för IoT

[KRÖNIKA] Ett år från vad som spås bli det revolutionerande 5G-året har företagen fortfarande frågetecken att räta ut på säkerhetsfronten och interna broar att bygga

Ola Wittenby, VD Trend Micro Sverige

Som talesperson inom säkerhetsbranschen är det lätt att tilldelas rollen som skeptiker bland all optimism som råder inom IoT just nu. En roll som förmanande förälder, som ser riskerna med sakernas internet där andra ser möjligheterna. Närmre sanningen är såklart att även vi i säkerhetsbranschen tycker att IoT är fantastiskt spännande och öppnar upp otroliga möjligheter för människan. Kvarstår gör dock det faktum att IoT öppnar upp för fler och komplexare cyberhot, och företagen behöver med nödvändighet rikta uppmärksamheten mot säkerheten. Det är hög tid att ta larmen om säkerhetsbrister på allvar nu, särskilt då utbyggnaden av IoT inte direkt spås slå av på takten. Under 2019 spår International Data Cooperation, IDC, att investeringarna inom IoT kommer nå hisnande 674 miljarder dollar.

Säkerhetsfokus har legat på GDPR och molnet

De senaste åren har handlat mycket om molnet för företagen och att skydda all den data som migreras från fysiska servrar till molnmiljöer. Likaså har nya GDPR-förordningen och NIS-direktivet krävt, och kommer att kräva, mycket arbete ur ett säkerhetsperspektiv. Utvecklingen och implementeringen av IoT-lösningar hos företagen har hittills skett parallellt med detta och vi kan i undersökningar vi gjort ute hos företagen se att säkerhetsansvariga nu flaggar för att kunskapen om riskerna med IoT är för dålig.

I en rapport från Trend Micro svarar 86 procent av IT- och säkerhetsansvariga världen över att deras organisation har för lite kunskap om IoT-hot. Man ser även att företags kunskap brister redan i bedömningen av sina säkerhetsbehov innan nya IoT-lösningar implementeras. Vi har med andra ord tydliga belägg för att säkerhetsfokus behöver flyttas, då denna underprioritering av IoT-säkerheten innebär en enorm risk.

Tyngre säkerhetsarbete när attackytorna breddas

Sakernas internet sprider sig snabbt och allteftersom vi lägger till potentiella attackytor ökar riskerna, den ekvationen är enkel. Svårigheterna här är inte den stora mängden uppkopplade enheter i sig, utan för de säkerhetsansvariga att hålla koll på alla potentiella ingångar cyberkriminella kan ta in i verksamheten. Lastbilar, robotar och övervakningskameror har tidigare inte hört till IT-avdelningens dagliga arbete och här behövs nya strukturer.

Undersökningar vi på Trend Micro gjort nyligen pekar ut ett dilemma många säkerhetsavdelningar har. IoT-enheterna implementeras snabbt inom företaget och många av dessa ingår inte i IT-avdelningens ansvarsområde, vilket innebär att de riskerar att missas helt. Signaler vi får från företag som deltagit i vår undersökningar, pekar mot att det finns en medvetenhet om en ökad hotbild med IoT, men att IoT-säkerheten i nuläget inte är en prioriterad fråga. Detta trots att två tredjedelar av tillfrågade säkerhetschefer uppger att de IoT-relaterade cyberhoten ökade under 2018, och att man under året drabbades av i snitt tre attacker mot uppkopplade enheter.

Dags att jobba på nätverket – i dubbel bemärkelse

För att etablera IoT-redo säkerhet på företagen, är det viktigt med ett skydd som innefattar samtliga uppkopplade enheter. Alla uppkopplade enheter behöver in i säkerhetsnätverket och betraktas som de potentiella sårbarheter de faktiskt är. Vi behöver vara på plats innan cyberbrottslingarna är det och vi behöver, hur konstigt det än låter, ta efter dem i vissa avseenden. Cyberkriminella är snabba, flexibla och uppfinningsrika när det kommer till att hitta sårbarheter, analysera sin måltavla och anpassa sina tillvägagångssätt. Det behöver företag också vara och här är det jätteviktigt att inte glömma IT-säkerheten då vi implementerar nya IoT-lösningar. Att involvera IT-säkerhetsansvariga i samtliga IoT-relaterade processer kan vara skillnaden mellan succé och katastrof.

Slutligen vill jag även passa på att slå ett slag för det andra nätverket – det kollegor emellan. Enligt en av Trend Micros senaste undersökningar framgår att många IT-säkerhetsansvariga inte känner sig hörda av chefer och andra avdelningar på arbetsplatsen. Man upplever dessutom att den ökade hotbilden inom cybersäkerhet lett till en ökad press på IT-avdelningen. Detta, samtidigt som implementeringen av IoT-lösningar på företag ofta sker utan IT-ansvarigas inblandning, visar på en snedfördelning på företagen. Cybersäkerhet bör inte betraktas som fristående övriga delar av verksamheten och ansvaret bör vara gemensamt. Intern kommunikation och delat ansvar tar inte bara en tyngd från säkerhetsansvarigas axlar, utan leder även till ökad medvetenhet om risker och i förlängningen ett tryggare nätverk, såväl i cyberrymden som på kontoret.

– Ola Wittenby, VD Trend Micro Sverige