Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Athugið. Vísir hvetur lesendur til að skiptast á skoðunum. Allar athugasemdir eru á ábyrgð þeirra er þær rita. Lesendur skulu halda sig við málefnalega og hófstillta umræðu og áskilur Vísir sér rétt til að fjarlægja ummæli og/eða umræðu sem fer út fyrir þau mörk. Vísir mun loka á aðgang þeirra sem tjá sig ekki undir eigin nafni eða gerast ítrekað brotlegir við ofangreindar umgengnisreglur. Mest lesið Halldór 18.05.2024 Halldór Halla Hrund eða Katrín? Reynir Böðvarsson Skoðun Ef þú kýst Höllu Tómasdóttur eða Jón Gnarr gætirðu verið að kjósa Katrínu! Ole Anton Bieltvedt Skoðun Er klassískt frjálslyndi orðið að jaðarskoðun? Kári Allansson Skoðun Góð gildi og staðfesta Höllu Hrundar Margrét Reynisdóttir Skoðun Kynhluthlaust mál, máltilfinning og forsetaframboð Höskuldur Þráinsson Skoðun Forseti Íslands veifaði mér Fjóla Einarsdóttir Skoðun Til áréttingar Kári Stefánsson Skoðun Ákall til framtíðar: Nám í félagsráðgjöf! Steinunn Bergmann Skoðun Formaður húsfélagsins Guðmundur Andri Thorsson Skoðun Skoðun Skoðun Þegar ég heyri nafnið Katrín Jakobsdóttir Hans Alexander Margrétarson Hansen skrifar Skoðun Í framhaldi af viðtali við Helgu Þórisdóttur Kári Stefánsson skrifar Skoðun Góð gildi og staðfesta Höllu Hrundar Margrét Reynisdóttir skrifar Skoðun Halla Hrund eða Katrín? Reynir Böðvarsson skrifar Skoðun Til áréttingar Kári Stefánsson skrifar Skoðun Kynhluthlaust mál, máltilfinning og forsetaframboð Höskuldur Þráinsson skrifar Skoðun Er klassískt frjálslyndi orðið að jaðarskoðun? Kári Allansson skrifar Skoðun Forseti Íslands veifaði mér Fjóla Einarsdóttir skrifar Skoðun Ákall til framtíðar: Nám í félagsráðgjöf! Steinunn Bergmann skrifar Skoðun Lexía lærð á hálfum degi Stefanía Arnardóttir skrifar Skoðun Ég kýs Helgu Þórisdóttur Gerður Rún Guðlaugsdóttir skrifar Skoðun Yfirborðskenndur stríðsáróður og McCarthýismi hjá háskólaprófessor Tjörvi Schiöth skrifar Skoðun Formaður húsfélagsins Guðmundur Andri Thorsson skrifar Skoðun Opið bréf til landsliðsmanna Íslands í blaki Guðbergur Egill Eyjólfsson skrifar Skoðun Ef þú kýst Höllu Tómasdóttur eða Jón Gnarr gætirðu verið að kjósa Katrínu! Ole Anton Bieltvedt skrifar Skoðun Kosningum frestað Ása Berglind Hjálmarsdóttir,Hrönn Guðmundsdóttir skrifar Skoðun Mesti stjórnmálamaðurinn? Hjörtur J. Guðmundsson skrifar Skoðun Birni Bjarnasyni svarað Arnar Þór Jónsson skrifar Skoðun Því miður ekkert annað í stöðunni en að fresta atkvæðagreiðslu um verkefni Heidelberg Gestur Þór Kristjánsson,Erla Sif Markúsdóttir,Sigurbjörg Jenný Jónsdóttir,Grétar Ingi Erlendsson skrifar Skoðun Baldur Þórhallsson er vitur og vís Bryndís Friðgeirsdóttir skrifar Skoðun Kjósum Katrínu Kjartan Ragnarsson skrifar Skoðun Neikvæð áhrif þess að útiloka forsetaframbjóðendur frá kappræðum strax komin í ljós Ástþór Magnússon skrifar Skoðun Nýtt sveitarfélag Halla Signý Kristjánsdóttir skrifar Skoðun Stafrænn ójöfnuður á upplýsingaöld Stella Samúelsdóttir,Alma Ýr Ingólfsdóttir skrifar Skoðun Varfærnisleg fagnaðarlæti Berglind Sunna Bragadóttir skrifar Skoðun „Ég skal baka fyrir Gunnar en ég kýs Kristján“ Páll Magnússon skrifar Skoðun Daðrað við sölu Björn Sævar Einarsson skrifar Skoðun Rannsóknir á söfnum skapa dýrmæta þekkingu Arndís Bergsdóttr skrifar Skoðun Sagan sem verður að segja Drífa Snædal skrifar Skoðun Nýsköpun innviða Jóhanna Ýr Jóhannsdóttir skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Ef þú kýst Höllu Tómasdóttur eða Jón Gnarr gætirðu verið að kjósa Katrínu! Ole Anton Bieltvedt Skoðun
Skoðun Yfirborðskenndur stríðsáróður og McCarthýismi hjá háskólaprófessor Tjörvi Schiöth skrifar
Skoðun Ef þú kýst Höllu Tómasdóttur eða Jón Gnarr gætirðu verið að kjósa Katrínu! Ole Anton Bieltvedt skrifar
Skoðun Því miður ekkert annað í stöðunni en að fresta atkvæðagreiðslu um verkefni Heidelberg Gestur Þór Kristjánsson,Erla Sif Markúsdóttir,Sigurbjörg Jenný Jónsdóttir,Grétar Ingi Erlendsson skrifar
Skoðun Neikvæð áhrif þess að útiloka forsetaframbjóðendur frá kappræðum strax komin í ljós Ástþór Magnússon skrifar
Ef þú kýst Höllu Tómasdóttur eða Jón Gnarr gætirðu verið að kjósa Katrínu! Ole Anton Bieltvedt Skoðun