Robust och säker IoT skapar ett säkrare samhälle

Samhällets beroende av tjänster baserade på lösningar, utrustningar och system för Internet of Things, IoT, ökar i en allt snabbare takt. Beroendet av IoT gör att hanteringen av denna utrustning och den infrastruktur som de kopplas upp till måste vara robust och säker. Detta gäller även tillverkningen och leveranskedjan till slutanvändaren. Därför såg Stadsnätsföreningen ett behov av att framställa en vägledning som kan stödja branschens aktörer i att höja säkerhetsnivån inom IoT.

Bland annat ENISA, EU:s cybersäkerhetsmyndighet, och Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram rapporter som identifierar brister och utmaningar inom IoT. Dessa utmaningar har analyserats av Stadsnätsföreningen och mynnat ut i en vägledning för robust och säker IoT som tar dessa i beaktande. Vägledningen består av minimikrav och en mall för riskanalys baserat på ENISA:s och MSB:s studier och rekommendationer. Nedan följer en kort beskrivning av innehållet i vägledningen.

Referensmodell med sju roller
I vägledningen beskrivs sju roller som behövs för att åstadkomma ett komplett IoT-system bestående av komponenter och tillgångar. Med dessa roller som utgångspunkt skapades en IoT-referensmodell.

De identifierade rollerna är:

  • IoT-system
  • IoT-enheter
  • Andra typer av IoT-enheter
  • Kommunikation
  • Plattform- och backend
  • Applikationer- och tjänster
  • Säkerhetstillgångar


Riskhantering
Med IoT-referensmodellen som bakgrund definierades en enkel process kring riskhantering för IoT bestående av två delar. Den första delen består av en kravanalys med specifika krav för varje roll, och den andra delen består av en risk- och sårbarhetsanalys för systemägare av ett IoT-system.

Se bild ”Process för riskhantering”.

De övergripande processenstegen är:

  1. Aktören definierar vilka roller som finns tillgängliga och genomför en ändamålsbaserad bedömning av den säkerhet och integritet som speglar olika säkerhetsnivåer kopplat till systemets/ enhetens tillämpning (exempelvis blåljus/kris, hemautomatisering).
  2. Minimikraven för den valda rollen analyseras i enlighet med bilaga 1. Rutin och handledning, kravanalys Robust & Säker IoT.
  3. Är den valda rollen Systemägare genomförs en riskanalys och riskbedömning i enlighet med bilaga 2. Rutin och handledning, RSA Robust & Säker IoT.
  4. Aktören ska minst en gång per år analysera risken för att förändrade säkerhetshot kan påverka säkerheten i IoT- systemet och därmed behovet av en förnyad kravanalys.
  5. Inför planerade verksamhets- och/ eller tekniska förändringar ska aktören göra en översyn och bedömning av om förändringarna påverkar säkerheten i IoT- systemet och därmed behovet av en förnyad kravanalys.

Anm. En aktör som har rollen att tillhandahålla allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska även vidta åtgärder enligt 5 kap. 6 b § lagen (2003:389) om elektronisk kommunikation.


Kravanalys

I vägledningen ställs olika kravbilder för de sju rollerna i IoT-systemet. För att förenkla hanteringen av kravanalyserna finns en lista att tillgå som beskriver varje rolls kravbild för att tydliggöra vilka krav som ska hanteras.

Kraven har kategoriserats in i elva säkerhetsområden:

  1. Styrning av säkerheten i informationssystem och riskhantering (Information System Security Governance & Risk Management)
    Innehåller säkerhetsåtgärder avseende riskanalys, policy, ackreditering, indikatorer och revision samt säkerhetsresurser för informationssystem.
  2. Systemhantering (Ecosystem Management)
    Innehåller säkerhetsåtgärder avseende kartläggning av ekosystem och ekosystemrelationer.
  3. IT-säkerhetsarkitektur (IT Security Architecture)
    Innehåller säkerhetsåtgärder avseende systemkonfiguration, förvaltning av tillgångar, systemseparering, trafikfiltrering och kryptografi.
  4. Administration av IT-säkerhet (IT Security Administration)
    Innehåller säkerhetsåtgärder avseende administrationskonton och administrationsinformationssystem.
  5. Identitets-och åtkomsthantering (Identity and access management)
    Innehåller säkerhetsåtgärder avseende autentisering, identifiering och åtkomsträttigheter.
  6. Underhåll av IT-säkerhet (IT security maintenance)
    Innehåller säkerhetsåtgärder avseende underhållsrutiner för IT-säkerhet och fjärråtkomst.
  7. Fysisk- och miljömässig säkerhet (Physical and environmental security)
    Innehåller fysisk säkerhet och miljöfaktorers påverkan på driftsäkerhet.
  8. Loggning (Detection)
    Innehåller säkerhetsåtgärder avseende detektering, loggning och loggkorrelation och analys.
  9. Hantering av datasäkerhetsincidenter (Computer security incident management)
    Innehåller säkerhetsåtgärder avseende analys och hantering av informationssystemets säkerhetsincidenter samt incidentrapport.
  10. Driftsäkerhet (Continuity of Operations)
    Innehåller säkerhetsåtgärder för hantering av kontinuitet och katastrof.
  11. Krishantering (Crisis Management)
    Innehåller säkerhetsåtgärder avseende krishanteringsorganisation och process.

Varje krav ska innehålla ”Ja” eller ”Nej”. När ”Nej” anges måste en motivering förekomma. När ”Ja” anges ska en beskrivning angående hur kravet uppfylls förekomma. Ett krav märkt med en punkt innebär att ett underkrav även ska hanteras.

Risk- och sårbarhetsanalys
Bashot, exempelvis målinriktade attacker och skador genom förfalskade enheter, som ligger till grund för genomförandet av risk- och sårbarhetsanalyser är utarbetade och kategoriserade av ENISA. Hot kopplade till Social engineering, det vill säga manipulering av människor så att de lämnar ifrån sig konfidentiell information eller manipulerar IoT-systemet negativt, definieras inte i dessa bashot. För att underlätta arbetet ingår det därför ett exceldokument i vägledningen med automatisk sammanställning av den totala hotbilden och en beskrivning över den process som behövs för att åstadkomma ett bra analysarbete.

Stadsnätsföreningen ambition är att vägledningen kommer att vara ett användbart verktyg för att identifiera säkerhetsbrister för IoT samt som ett naturligt och kontinuerligt inslag i vardagen för alla som jobbar med IoT. Vägledningen finns tillgänglig att hämta hem från Stadsnätsföreningens hemsida från och med mitten av februari 2020.

Jimmy Persson
Svenska Stadsnätsföreningen


Det här är en artikel från magasinet Stadsnätet, mars 2020. 

Vägledning IoT1.JPG
Vägledning IoT2.JPG
Vägledning IoT3.JPG