Netöryggisáskoranir Hlutaneta og leiðir til úrbóta Þór Jes Þórisson skrifar 25. apríl 2023 07:31 Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Netöryggi Athugið. Vísir hvetur lesendur til að skiptast á skoðunum. Allar athugasemdir eru á ábyrgð þeirra er þær rita. Lesendur skulu halda sig við málefnalega og hófstillta umræðu og áskilur Vísir sér rétt til að fjarlægja ummæli og/eða umræðu sem fer út fyrir þau mörk. Vísir mun loka á aðgang þeirra sem tjá sig ekki undir eigin nafni eða gerast ítrekað brotlegir við ofangreindar umgengnisreglur. Mest lesið Vegið að æru embættismanna Bjarkey Olsen Gunnarsdóttir Skoðun Til óákveðinna kjósenda Eygló Halldórsdóttir Skoðun Opið bréf til forsetaframbjóðenda Elín Erna Steinarsdóttir Skoðun Afhverju viltu fá trúð á Bessastaði? Diljá Ámundadóttir Zoega Skoðun Sameiningaraflið Katrín Jakobsdóttir Kári Bjarnason Skoðun Snúningshurðin í ráðuneytinu Jón Kaldal Skoðun A Letter of Encouragement for Voters of Foreign Origin. Nichole Leigh Mosty Skoðun Ómetanleg leiðsögn Magnús Ingi Óskarsson Skoðun Sjókvíafúskið mikla Rán Flygenring Skoðun Það þarf þyrlupall við þjóðarsjúkrahúsið Hópur lækna á þyrlum Landhelgisgæslunnar Skoðun Skoðun Skoðun Pólítísk aflúsun Ólafur Þór Ólafsson skrifar Skoðun Að vaxa inn í framtíðina Viðar Hreinsson skrifar Skoðun A Letter of Encouragement for Voters of Foreign Origin. Nichole Leigh Mosty skrifar Skoðun Sameiningaraflið Katrín Jakobsdóttir Kári Bjarnason skrifar Skoðun Snúningshurðin í ráðuneytinu Jón Kaldal skrifar Skoðun Til óákveðinna kjósenda Eygló Halldórsdóttir skrifar Skoðun Opið bréf til forsetaframbjóðenda Elín Erna Steinarsdóttir skrifar Skoðun Ómetanleg leiðsögn Magnús Ingi Óskarsson skrifar Skoðun Vegið að æru embættismanna Bjarkey Olsen Gunnarsdóttir skrifar Skoðun Hverjum treystum við fyrir fjöreggjunum okkar? skrifar Skoðun Stöndum í lappirnar! Vilborg Gunnarsdóttir skrifar Skoðun Gjöf sem gefur Halla Tómasdóttir skrifar Skoðun Vegna hvers kýs ég Katrínu Jón Kristjánsson skrifar Skoðun Hvar er sómakenndin? Blakleikur Ísraels og Íslands Hrönn Guðmundsdóttir,Ragnhildur Hólmgeirsdóttir skrifar Skoðun Alþingi slátrar jafnræðisreglunni Ólafur Stephensen skrifar Skoðun Málfarslöggan verk sín vann Ari Páll Kristinsson skrifar Skoðun Verðmæti Döff kjósenda Mordekaí Elí Esrason skrifar Skoðun Nýja hægrið Davíð Bergmann skrifar Skoðun Afhverju viltu fá trúð á Bessastaði? Diljá Ámundadóttir Zoega skrifar Skoðun Heldur þann besta en þann næstbesta! Vilhjálmur B. Bragason skrifar Skoðun Vel gert! Halla Signý Kristjánsdóttir skrifar Skoðun Halla Hrund; vörður auðlinda og nýsköpunar Valdimar Össurarson skrifar Skoðun Forsetabaráttan: Hin fimm fræknu og leiðtogafræðin Sigurður Ragnarsson skrifar Skoðun Sýnileiki og styrkur þjóðar Ásdís Þórhallsdóttir skrifar Skoðun Velferð fólks framar markaðsvæddri netsölu áfengis Guðmundur Ingi Guðbrandsson skrifar Skoðun Halla Hrund, Halla Tómasdóttir eða Katrín Jakobsdóttir? Reynir Böðvarsson skrifar Skoðun Það þarf þyrlupall við þjóðarsjúkrahúsið Hópur lækna á þyrlum Landhelgisgæslunnar skrifar Skoðun Vonandi endurtekur sagan sig! Ole Anton Bieltvedt skrifar Skoðun Halla Hrund - Þarf fólk eins og þig, fyrir fólk eins og mig? Tómas Ellert Tómasson skrifar Skoðun Kjósum sterkan leiðtoga Guðlaug Hrönn Jóhannsdóttir skrifar Sjá meira
Hlutanet Hlutanet (Internet of Things, IoT) færir fólki mikla möguleika þegar kemur að snjallvæðingu. Hinn almenni notandi ætti að geta nýtt þessa möguleika á öruggan hátt og með vissu um að fullnægjandi öryggi og persónuverndarráðstafanir séu fyrir hendi til að verja notkun þeirra á hlutanetinu (snjalltæki á Netinu). Það er oft því miður ekki alveg þannig. Öryggisvandamál Hlutaneta Fjölmörg dæmi hafa komið upp sem snúa að því hversu auðvelt var að brjótast inn í t.d. barnasnjallúr, öryggismyndavélar á heimilum og ýmsan nettengdan snjallbúnað á heimilum. Hlutanetsbúnaður hefur þá verið tekinn yfir, eigendum til armæðu og í sumum tilfellum til tjóns. Öryggisleiðbeiningar varðandi Hlutanet á neytendamarkaði Staðlaráð Íslands hefur þegar gefið út leiðbeiningar til að taka á þessum vanda, sjá ÍST WA 302:2021. Þær byggja á ETSI stöðlum og breskum leiðbeiningum. Þrjár megin leiðbeiningarnar eru: 1. Engin sjálfgefin aðgangsorð Öll lykilorð fyrir Hlutanetstæki eiga að vera einkvæm og ekki endursetjanleg í sjálfgefið lykilorð frá framleiðenda. 2. Innleiðing á upplýsingaskyldu vegna öryggisveikleika Öll fyrirtæki sem selja Nettengd tæki og þjónustu verða að bjóða upp á almennan aðgang, þar sem hægt er að senda inn upplýsingar um veikleika, þetta er gert til þess að fyrirtæki sem rannsaka öryggisveilur og aðrir geti upplýst um öryggisvandamál. 3. Halda hugbúnaði uppfærðum Hugbúnaðareiningar í Nettengdum tækjum eiga að vera uppfærðar á öruggan hátt. Upplýsa þarf opinberlega um uppfærslur á líftíma tækis Netöryggismál Hlutaneta innleidd með lögum og með merkingu á búnaði Reynslan af slíkum leiðbeiningum erlendis hefur ekki verið talin nægjanleg góð, enda er fyrirtækjum í sjálfsvald sett að fara eftir þeim. Því hafa nokkur lönd ákveðið að setja lög um öryggi Hlutaneta og samhliða búa til merkingar á hlutanetsbúnað til að gefa til kynna hversu öruggur búnaðurinn er. Unnið er að þessu víða um heim og er t.d. ESB að vinna að löggjöf, „EU Cyber Resilience Act“, sem nær líka til tölvu- og farsímabúnaðar. Reiknað er með að sú löggjöf verði kláruð 2025. Vinna er einnig hafin við alþjóðlegan staðall á vegum staðlastofnanna ISO/IEC. Staðallinn ISO/IEC 27404, „Universal Cybersecurity Labelling Framework (UCLF) for consumer IoT“, mun skilgreina alþjóðlegt merkingarkerfi fyrir öruggan Hlutanetsbúnað á neytendamarkaði. Merkingarnar hafa fjögur öryggisstig, þ.s. stig 4 er öruggast. Búnaðurinn verður þá merktur á áberandi hátt með viðkomandi öryggisstigi. Þannig veit neytandi að hverju hann gengur. Stuðningur við Netöryggisstefnu stjórnvalda Kynning á leiðbeiningum, ásamt öryggismerkingum á búnað, styður mjög vel við markmið ríkistjórnarinnar í netöryggismál, eins og þau voru kynnt 1. nóvember síðastliðin. Ber þar helst að nefna lið 1.3. „Traust netöryggismenning og -vitund“ og undirliðinn „ Almenningur styrktur í öruggri notkun netsins og vitundarvakning um mögulegar hættur sem þar leynast“. Vefráðstefna um öryggismál Hlutaneta á neytendamarkaði HVIN, FST og Staðlaráð standa að Norrænni ráðstefnu um netöryggismál Hlutaneta á neytendamarkaði þann 3. maí kl 8:45-10:15. Flutt verða erindi frá breskum og finnskum aðilum sem eru framalega í að innleiða netöryggismál Hlutaneta á neytendamarkaði. Einnig verða pallborðsumræður um stöðuna á Norðurlöndum. Vefráðstefnan er öllum opin. Hægt er að skrá sig hér. Höfundur er formaður Fagstaðlaráðs í upplýsingatækni.
Skoðun Hvar er sómakenndin? Blakleikur Ísraels og Íslands Hrönn Guðmundsdóttir,Ragnhildur Hólmgeirsdóttir skrifar