Diskussioner angående säkerhet i våra hem och hur vi ska eller bör agera kring detta är ständigt pågående. Kommer hackers att fokusera mer på smarta hem då dessa ökar?
Häromveckan dök det upp en nyhet i Sverige som handlade om certifiering av IoT-produkter. Det är Svensk Brand- och Säkerhetscertifiering (SBSC) som meddelade att de nu erbjuder en certifiering av uppkopplade enheter samt för sensorer som samlar in data. Enligt uppgift sker certifieringen enligt normen SSF 1120 med grund i standarden ETSI EN 303 645 som är en europeisk standard för cybersäkerhet rörande IoT-enheter för konsumenter.
Då jag själv har och har avverkat hundratals produkter för mitt smarta hem genom åren så har jag egentligen inte stött på någon form av certifiering här, undantaget en produkt som jag återkommer till. Primärt har jag alltid sett till att använda starka lösenord på mina enheter och nätverk, alltid ändra förinstallerade uppgifter och anamma allmänt sunt förnuft för att inte framstå som ett lätt offer för en hacker. Å andra sidan så anser jag mig heller inte vara en måltavla för hackers men någonstans så har det fastnat att säkerhet för hemmets prylar ändå bör finnas där oavsett vem du är.
Så frågan är väl om det numera finns ett behov i takt med att antalet smarta och uppkopplade prylar ökar på marknaden? Visst har vi hört talas om hackers som gett sig på kameror från Ring, Eufy och Xiaomi eller smarta vitvaror genom DDOS-attacker men har det varit genom buggar eller svag säkerhet från innehavaren? Troligtvis kombinationer av båda och tacksamt så har drabbade företag försökt att agera med säkerhetspatchar så snabbt de bara kunnat. Samt en och annan ursäkt gentemot användarna men det är väl det minsta som kan begäras…
Certifieringen som nu finns från SBSC ska säkerställa att produkten får säkerhetsuppdateringar och att data lagras på optimalt sätt. Men även att säkra konfigureringar, autentiseringar, skydd av den personliga datan och att det finns en säker kommunikation. Genom att certifiera IoT-produkterna ska dessa bidra till ökad säkerhet för användaren men också för att kunna intyga att produkterna uppfyller kraven för ETSI EN 303 645.
I artikeln framkommer det att normen är framtagen genom ett samarbete mellan SSF Stöldskyddsföreningen och F-Secure tillsammans med Axis, Assa Abloy, Ikea, Dormakaba, Dina Försäkringar, Parakey, Sensative, SBSC och Verisure.
Första certifierade IoT-hubben
Då kommer jag osökt in på produkten jag nämnde tidigare, Somfy TaHoma switch. Det ska sägas direkt att jag arbetar på Somfy men syftet med artikeln är inte att pusha för produkten utan snarare att försöka belysa just det här med säkerheten i de smarta hemmen. Tidigare i år lanserades en uppföljare till den äldre TaHoma (smart hem controller) som släpptes 2016 och en av nyheterna med denna nya version är att det var den första IoT-certifierade produkten inom hemautomation. Det är det världsledande företaget UL, verksamma inom säkerhet över hela världen (143 länder), som certifierat produkten. UL inte bara testar utan inspekterar och testar säkerheten hos bland annat banker, myndigheter och företag.
Inom Somfy används olika protokoll för att styra produkterna varav ett heter io-homecontrol. Det är ett tvåvägsprotokoll som har hög säkerhet då det kommunicerar på 868 MHz-bandet och använder såväl rullande kod samt autentisering (io säkerhetsnyckel) när en signal skickas till produkten där signalen då är krypterad. Den äldre versionen av TaHoma hade en certifiering från tyska SySS som med regelbundna mellanrum försökte hacka produkten utan att lyckas.
Hög säkerhet är givetvis tryggt för användaren men också för företagen som självklart mår bättre om ryktet är gott. Men handen på hjärtat, hur många IoT-företag arbetar idag aktivt med att kommunicera ut att deras produkter är säkra? Eller rättare sagt att du som användare av företagets produkter kan sova gott i tron att dina uppgifter är säkra tillsammans med dina produkter? Alltså om vi bortser från de vanliga uttalanden som görs om att “du och din säkerhet betyder mycket för oss” och “vi bryr oss om dig och din integritet”? Inte så många va?
Behöver IoT-produkter certifieras?
Den stora frågan är då om IoT-produkter verkligen behöver certifieras? Det är inte fel om det görs det utifrån en vedertagen standard men oavsett vilket så ska det inte blir förvirrande för konsumenten. I värsta fall blir det som i livsmedelsbranschen där antalet märkningar nu är så många att man, liksom bara rycker på axeln och hoppas att det är en bra märkning på den produkt man vill köpa.
I takt med att antalet tillverkare inom smarta hem ökar lavinartat så är ju frågan hur många som växer ansvarsfullt och verkligen säkerställer att deras produkter kan användas utan risk. Som konsument blir det lite av ett vågspel där man givetvis hoppas att den där kameran man köpte på Wish för en billig peng verkligen ansluter till en säker server via en krypterad anslutning. Många av oss har säkert koll på det men för gemene man som bara ser en billig kamera – vilka är riskerna där? Är det “skyll dig själv” som gäller eller kan ett visst ansvar utkrävas från tillverkaren?
Därför kan det vara på sin plats med att IoT-produkter certifieras men det är självklart inte hela lösningen på problemet, eller hur? Givetvis är regelbundna uppdateringar från tillverkaren ett bra sätt att minska eventuella problem med produkterna.
Vad kan du göra på egen hand?
Oavsett om du använder produkter som är certifierade eller inte så finns det en hel del du kan göra på egen hand för att säkra hemmet. Tänk på att om du har en hög säkerhetsnivå så minskar risken för förlust av personuppgifter, risken att dina enheter hackas minskar och även utpressningsmöjligheterna blir mindre. Ha också i åtanke att det inte bara är smarta prylar som är i riskzonen, även personliga bilder, filmer och annat som rör dig och din familj kan äventyras om du har en svag säkerhet hemma.
Här listar vi en del tips på vad du kan göra för att minska risken för att utsättas:
- Byt alltid ut de lösenord som finns som standard
- För lösenord, använd olika tecken och siffror i kombination med bokstäver (istället för att skriva “Micke Rehn” kan man skriva “W1(k3_r=hN”)
- Använd en lösenordshanterare
- Säkerställ att du alltid har ett starkt lösenord för ditt wifi-nätverk
- Om möjligt, sätt upp ett gästnätverk för barn, kompisar och bekanta
- Rikta ej eventuella kameror i hemmet mot privata utrymmen (t ex badrum, toalett)
- Ett eget nätverk för dina uppkopplade prylar kan vara en bra lösning
- Byt känsliga lösenord med jämna mellanrum
- Använd inte samma lösenord på alla platser som kräver inloggning
- Uppge aldrig dina lösenord eller andra känsliga uppgifter till okända
- Ställ dig frågan om du verkligen behöver koppla upp alla dina prylar i hemmet
Hur ser du på det här med säkerheten i ditt eget smarta hem? Är det redan idiotsäkert med krypterade nätverk i varje hörn eller finns det ett behov av att IoT-prylarna certifieras?
Diskutera i Bubblan och dela med dig av din kunskap.