Styrkelse af dansk IoT-sikkerhed

Senest opdateret d. 13/4-2018
Alexandra Instituttet
Dansk Brand- og sikringsteknisk Institut (DBI)
FORCE Technology
Resultatkontrakt 2019-2020 under temaerne Informations- og Kommunikationsteknologi og Produktionsteknologi

Danske virksomheder er internationalt kendt for deres kvalitetsprodukter. Dette brand skal bevares – også når produkterne gøres smarte og kobles på internettet. Det er derfor helt vitalt for danske virksomheder at have styr på IoT-sikkerheden.

Cybersikkerhed er en stigende udfordring for alle europæiske virksomheder, og dårlig IoT-sikkerhed er en trussel både for ejeren af et produkt og for alle andre. I 2016 blev dette tydeligt, da Mirai-angrebet via IoT-enheder med dårlig sikkerhed lagde mange tjenester på internettet ned. Der findes services og standarder på området, men de er ofte branchespecifikke eller nicheorienterede, og er ikke bredt accepteret til hverken industri- eller forbrugerprodukter.

EU har foreslået frivillige krav om certificering af IKT-produkter, og der begynder at komme standarder som f.eks. UL2900-1, IEC 62443 og ISO/IEC 27034. European Cyber Security Organisation (ECSO) har afdækket, at der findes ca. 290 standarder, som omhandler cybersikkerhed.  Det viser, at alene mængden gør det vanskeligt for virksomheder at vide, hvilken de skal efterleve.

Dette forslag vil sikre, at GTS-netværket i fællesskab kan levere hjælp til at kortlægge standardiserede krav til virksomheders cybersikkerhed inden for IoT og dokumentere disse. FORCE Technology vil levere den nødvendige akkrediterede cybersikkerhedsscreening af produkter. Alexandra Instituttet vil levere de nødvendige it- og IoT-sikkerhedsservices. DBI – Dansk Brand- og sikringsteknisk Institut vil levere awareness-ydelser og branchespecifikke ydelser til domænet brand og sikring.

Nøgleord

32 kommentarer

Herunder er indlæg og kommentarer fra interessenter på aktiviteter og aktivitetsforslag.

Søren Peter Nielsen (Head of Product, MakerDAO)
Torsdag d. 19/4-18 kl. 21:10

Der er brug for at finde nye veje til bedre sikkerhed for IoT-produkter og løsninger, som også kan være mere priseffektive at implementere i forhold til hvad det koster i dag at sikre en IoT-løsning. Efter at have arbejdet med Industriel IoT globalt i 2 år kan jeg bekræfte at en indsats på dette område kan hjælpe danske virksomheder, der anvender og producerer IoT løsninger.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Fredag d. 20/4-18 kl. 10:54

Kære Søren Peter.
Tak for din kommentar, jeg er glad for, at du også mener at det er et vigtigt emne.
Venlig hilsen Gert Læssøe Mikkelsen

Anette Høyrup (Seniorjurist, Forbrugerrådet Tænk)
Lørdag d. 21/4-18 kl. 08:24

Som repræsentant for forbrugerne, som i højere og højere grad køber og anvender internetforbundne produkter - ofte med meget ringe sikkerhed - vil Forbrugerrådet Tænk gerne bakke op om et IoT projekt hos Alexandra-instituttet.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 23/4-18 kl. 13:20

Kære Anette
Tak for din kommentar, vi håber også, at vi kan hjælpe både virksomhederne/producenterne og derigennem også forbrugerne, til at få både bedre sikkerhed og bedre at kunne vurdere sikkerheden i IoT produkter. Vi vil gerne samarbejde med jer omkring dette.

Venlig hilsen Gert.

Dennis Hansen
Mandag d. 23/4-18 kl. 09:26

Der har længe været et behov for at kunne få den rette bistand til at imødegå sikkerhedsmæssige udfordringer med IoT-produkter. Dette gør sig ikke længere kun gældende for producenter og slutbrugere, men også stat og samfund kan have glæde af dette, i takt med at IoT introduceres i sikkerhedsløsninger og i f.eks. Smart City løsninger, hvor sårbarheder kan ramme andre end blot slutbrugeren. Derfor er det glædeligt at se forslag til projekt der med en holistisk indsats vil hjælpe danske virksomheder og slutbrugere med at styrke deres IoT-sikkerhed.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 23/4-18 kl. 13:27

Kære Dennis.
Mange tak for din kommentar. Jeg er glad for at høre, at du finder projektet relevant, og jeg mener også det er relevant både for producenter og brugerne, også de professionelle, af IoT produkter.
Venlig hilsen Gert Læssøe Mikkelsen

Jakob Illeborg Pagter (CTO, Sepior)
Mandag d. 23/4-18 kl. 11:18

Den stigende digitalisering af fysiske enheder repræsenterer et meget stort samfundsøkonomisk potentiale, men har en række indbyggede trusler imod sikkerhed og privacy for både borgere og virksomheder. De bagvedliggende trusler repræsenterer et heterogent teknisk miljø med stor teknisk dybde, som kan være svært for selv store virksomheder at mestre. Det vil derfor have stor værdi for danske virksomheder at få støtte til deres arbejde med disse udfordringer.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 23/4-18 kl. 13:30

Kære Jakob
Jeg er glad for at du finder det relevant, og jeg er enig i at IoT sikkerhed kan være komplekst men samtidigt vigtigt både for producenterne, slutbrugerne og samfundet.
Mange tak for din kommentar
Venlig hilsen Gert Læssøe Mikkelsen

Mark Rees-Andersen (CEO, HiveMined, HiveMined)
Mandag d. 23/4-18 kl. 13:51

Det meste af internetadgangen omkring store dele af USA's østkyst blev i efteråret 2016 lagt ned af hackere som havde lavet en hær af internetrobotter via ubeskyttede ("smarte"-) IoT-brødristere... Hvis Danmark fortsat skal være kendt for godt design, er "security by design" i høj grad et must. Om ikke særligt længe vil alle apparater være forbunde, og derfor har producenterne nu et ansvar for mere end deres eget produkt, og altså tillige også det netværk de indgår i —på allerhøjeste plan. Det er en selvfølge at de implicerede virksomheder i denne nye kontekst bør have støtte til at kunne omstille sig til den nye digitale norm.

Tak for et godt skriv.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Torsdag d. 3/5-18 kl. 13:09

Kære Mark.
Ja det er faktisk lidt utroligt så dårlig sikkerhed der var i de IoT produkter, der var grunden til, at en stor del af USA havde problemer med at tilgå tjenester på internettet en kort overgang i 2016. Jeg er enig med dig i, at det viser, at der er brug for at få fokus på IoT sikkerheden. Mange tak for din kommentar.
Venlig hilsen Gert Læssøe Mikkelsen

Jørgen Hartig
Mandag d. 23/4-18 kl. 15:01

Jeg er netop vendt retur fra en tur til verdens største sikkerhedskonference - RSA Confernce 2018 - i San Francisco. Der er ingen tvivl om, at sikkerhedsfokus er blevet endnu større på både "alm" Iot sikkerhed (Consumer IoT) og på Industriel IoT (kritisk infrastruktur). Især ift Industriel IoT, så er man kommet til en erkendelse af, at vores samfund er sårbart og kan rammes hårdt, hvis vi ikke får fokus på det og tager det alvorligt nu - mange eksempler blev fremhævet. Det er kræver en omstilling i mentalitet og indstilling, herunder:
- Ja, der skal laves en risko vurdering på OT/IT-koblingen,
- Ja, man skal opdatere systemer og sikre Scada/ICS-systemer imod "CyberThreats" og
- Ja, man bør overvåge trafikmønstre imellem OT og IT så unormal trafikmønstre opdages.
Samtidig ser virksomhederne en unik mulighed ved at bygge bro imellem OT og IT, så effektiviteten og informationsflow forbedres i løsningerne. Intentionerne er gode, med det kræver omtanke.

Et forslag (udover de nævnte i artiklen :-) ) til et ramme værktøj, som arbejder med netop dette spændingsfelt, har amerikanske NIST lanceret følgende- "Framework for Improving Critical Infrastructure Cybersecurity"- se link her: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

mvh Jørgen

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Torsdag d. 3/5-18 kl. 13:19

Kære Jørgen.

Jeg var desværre ikke selv til RSA Konferencen i år, men kender den godt og har tidligere været af sted. Det er godt at høre, at der også er fokus på IoT sikkerhed derovre. Vi har måske nok haft et Europæisk fokus i ansøgningen, men vi vil selvfølgeligt også kigge på det arbejde der sker i bla. USA hos NIST, og jeg glæder mig til at få set nærmere på den nye version af deres framework som du henviser til. Tak for din kommentar.

Venlig hilsen Gert.

Christian W Probst (Professor, Unitec Institute of Technology)
Onsdag d. 25/4-18 kl. 05:55

I en verden hvor flere og flere ting er forbundet med hinanden og med internettet, det bliver en absolut nødvendighed at sikre at enhederne lever op til tekniske krav. Den sidste tid har vist hvor stort angrebsfladen igennem IoT enheder bliver, og hvor svært det er for brugerne, at forstå udfordringerne og at forholde sig til dem.

Der kræves en stor indsats for at identificere relevante krav eller standarter, og at opdatere dem løbende, og at udvikle metoder og kompetencer i certificeringen af enhedernes egenskaber. Den forslåede aktivitet er derfor vigtigt for både samfundet og virksomheder.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Torsdag d. 3/5-18 kl. 13:23

Kære Christian.

Jeg er glad for, at du også synes det er et vigtigt emne at have fokus på, og jeg håber, at vi måske i dette projekt kan fortsætte samarbejdet med dig. Mange tak for din kommentar.
Venlig hilsen Gert

Klaus Bolving (Direktør & Netværksleder, CenSec & Innovationsnetværket for Produktion)
Tirsdag d. 15/5-18 kl. 09:32

Vi har videnspredt kapaciteterne og potentialerne i den stærke danske GTS-triade vedr. "Safe IoT" inkl. Nordic IoT Center på den europæiske sikkerhedsscene, herunder til. store sikkerhedsklynger og konsortiepartnere i Horizon 2020 samarbejder. Det er tydeligt, at denne voksende danske IoT-styrkeposition nyder stor international anerkendelse og med fordel kan opdyrkes yderligere. I forhold til de mange virksomheder i vores netværk efterspørger de generelt standarder til at sætte rammerne for markedet og dermed design og udvikling af produkter og services til "Safe IoT". Derfor hilses en opgradering af dette område velkommen.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Torsdag d. 17/5-18 kl. 12:40

Kære Klaus

Tak for din kommentar. H2020 projekter er jo en god kombination med GTS'ernes RK projekter, så vi både kan sikre videnhjemtagning og internationalt samarbejde, og samtidigt sørge for at denne viden kommer flere danske virksomheder til gode. Så også stor tak for at du har bragt viden om vores kompetencer videre i Jeres internationale netværk. Vi håber, vi kan fortsætte det gode samarbejde med jer gennem dette projekt.

Venlig hilsen Gert.

Henrik Aagaard Johanson (Teamkoordinator Smart City, Region Hovedstaden)
Torsdag d. 17/5-18 kl. 11:43

Smart Cities løsninger er i hastig vækst med investeringer fra kommunerne og virksomheder, som kan bidrage med bedre services for borgerne, et bedre miljø eller optimere drift ved hjælp af sensorer, kameraer og andre teknologier, der indsamler og anvender data. Men med udviklingen af smarte løsninger i byrummet står vi over for en række trusler og risici som angreb, kompromittering af data eller nedbrud af kritiske systemer. Derfor er der behov for, at blive bedre til at håndtere truslerne, udvikle og teste løsninger, som mindsker risikoen for det går galt og have strategier, procedurer og praktiske skridt klar til at handle, når det er gået galt.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 14:36

Kære Henrik.

Mange tak for din kommentar, vi er glade for at du finder vores projekt relevant, og vi er helt enige i at når vi som samfund laver smart city løsninger så er det vigtigt at få sikkerheden tænkt med, hvilket vi håber at kunne hjælpe med i dette projekt, blandt andet ved at kunne certificerer produkter og arbejde med relevante standarder på området.

Venlig hilsen Gert

Christian Olesen (CTO, Hamsto)
Fredag d. 18/5-18 kl. 17:29

Jeg er mest overrasket over at markedspenetrationen tager så lang tid. I forhold til at teknologien nu har eksisteret i et par år som minimum på consumer plan.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 14:50

Kære Christian

Mange tak for din kommentar, det er dejligt at du og andre har interesse i disse emner. Jeg er lidt i tvivl om det er markedspenetrationen omkring IoT sikkerhed eller IoT generelt du hentyder til i den kommentar. Hvis det er omkring IoT sikkerhed, ja så kan jeg kun være enig i at der bør være mere fokus på det, hvilket vi håber at kunne medvirke til gennem dette projekt.

Venlig hilsen Gert Læssøe Mikkelsen.

Rikke Eiberg Glashoff (Process Improvement & Service Manager Scandinavia, RS Components A/S)
Tirsdag d. 22/5-18 kl. 09:42

IOT og IIOT er vejen frem særligt inden for industri og predictive maintenance, så klare og så vidt muligt simple love og regler på området er en utrolig vigtig faktor.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 14:58

Kære Rikke.

Mange tak for din kommentar, vi håber at vi får bevilget projektet og at vi i det kan være med til at skabe klarhed for danske virksomheder på dette område, for som du siger så er der store muligheder både inden for IoT og Industiral IoT.

Venlig hilsen Gert Læssøe Mikkelsen

Lars Ellebo (Senior Solution Architect, Radiometer Medical)
Onsdag d. 23/5-18 kl. 00:00

Som en virksomhed der udvikler IoT løsninger og andre connectede løsninger, bliver man dagligt stillet over for større og større krav fra kunder og partnere, om at kunne dokumentere cyber sikkerheden i ens IoT produkter.
Junglen af sikkerheds standarder er stor, men der er kun ganske få, som er velegnede og konkrete nok til brug for test og certificering af IoT produkter. Specielt vil det være nyttigt med en fælles europæisk standard på området, meget gerne udviklet med bidrag fra eksempelvis Nordic IoT Center.
Vi må forvente, at i løbet af få år vil en cyber security certificering blive en obligatorisk del af en CE-mærkning af IoT produkter. Det vil derefter blive ulovligt at sælge IoT produkter i Europa, som ikke er cyber security certifcerede.
Men selvom det endnu ikke er obligatorisk for IoT produkter at være cyber security certificerede, er der stadig store konkurrencemæssige fordele ved at kunne fremvise et cyber security certifikat. Det kan være det selling point som gør, at en kunde beslutter sig for at købe ens produkt frem for konkurrentens produkt.
Det vil derfor være en kæmpe fordel for danske virksomheder, specielt mindre virksomheder med begrænsede ressourcer, hvis GTS-netværket kan udvikle og tilbyde en service, som kan gøre sikkerheds test og sikkerheds certificering af IoT produkter til en overskuelig opgave med en overkommelig pris.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 23:17

Kære Lars.

Tak for din kommentar og din støtte. Vi ønsker gennem dette projekt at kunne hjælpe danske virksomheder med på de områder du påpeger, både i junglen af standarder og blandt andet gennem Nordic IoT Center at kunne have indflydelse på kommende standarder på området. Derudover ønsker vi også at kunne stiller certificeringsydelser til rådighed til Danske virksomheder, både små og store.
Og så håber vi som dig at certificeringer af IoT, bliver mere obligatorisk i fremtiden, indtil da er der stadig den konkurrencemæssige fordele ved at have styr på sikkerheden, også den digitale.

Venlig hilsen Gert.

Rasmus Theede (Managing Director, DigitalNations)
Onsdag d. 23/5-18 kl. 08:36

Som ansvarlig for Privacy og Security i DigitalEurope i Bruxelles, har jeg selv arbejdet intensivt med bla. EU Comissionen ang. bla IoT sikkerhed og de nye certificeringsregler. Selvom jeg hilser reguleringen og kommende regler fra EU velkommen, går arbejdet overordentligt langsomt og er præget af mange nationale og kommercielle interesser. Som EU førende land i Digitalisering, er IoT sikkerhed et alt for vigtigt emne til at lade vente på en langsomlig bureaukratisk process. Med Danmark som sikkerhedsmæssig frontrunner, hvil vi ikke alene opnå styrket national sikkerhed men give DK en konkurrencefordel fremfor andre lande med langt mere lempelig tilgang. Det lykkedes på flot vis med et Danskdrevet nordisk sikkerhedssamarbejde, som giver genlyd i Bruxelles, det kan vi også sagtens på IoT og andre vigtige sikkerhedsområder.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 23:31

Kære Rasmus.

Tak for kommentaren og fordi du deler din indsigt fra EU's arbejde på området. Det kan jo være lidt nedslående at regulering er så langsommelig en process på dette område, men det er jo et vilkår, og på den anden side så er vi enige med dig i, at vi som det mest digitaliserede land i EU, må kunne gøre dette og at det vil være en konkurrencefordel for danske virksomheder.

Venlig hilsen Gert.

Kim Skov Hilding (Konsulent, Dansk Standard)
Fredag d. 25/5-18 kl. 14:28

Dansk Standard ser positivt på at Alexandra Instituttet, Force Techonology og DBI vil udvikle rådgivnings- og akkrediteringsydelser inden for IoT og brugen af IoT-produkter med udgangspunkt i standardiseringsorganisationerne ISO, IEC, CEN/CENELEC.
Dansk Standard mener at GTS’erne har en vigtig strategisk og operationel rolle i at deltage aktivt i udvikling af internationale/europæiske standarder på områder som er af afgørende interesse for dansk erhvervsliv. Gennem internationale standarder kan GTS’erne effektivt opbygge og formidle teknologiske kompetencer til dansk erhvervsliv.
GTS’erne er ofte i en unik situation, hvor deres brede kendskab til danske virksomheders behov og udfordringer, sætter dem i stand til at varetage danske interesser, når der udvikles nye internationale standarder. Dansk Standard oplever at GTS'erne er efterspurgte i standardiseringsarbejdet, da de bidrager med unik og aktuel viden, som efterspørges af virksomhederne.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Mandag d. 28/5-18 kl. 23:36

Kære Kim.

Tak for din kommentar. Det er dejligt med opbakning også fra Dansk Standard. Standarder og certificering på dette område er helt sikkert noget vi gerne vil være med til at sætte fokus på. Vi håber at vi gennem dette projekt kan sætte fokus på dette, og samarbejde med jer om dette arbejde. Til fordel for danske virksomheder.

Venlig hilsen Gert Læssøe Mikkelsen.

Henning Mortensen
Mandag d. 28/5-18 kl. 20:21

Der er behov for at sikre, at danske IoT-produkter bliver brandet som sikre på den internationale markedsplads. Vi skal have Danish Security op på linje med Danish Design fra 60'erne og 70'erne. Dertil er der brug for at læne sig op af internationale certificeringer, som kan bruges til at signalere god sikkerhed. Der er behov for at virksomhederne kan få adgang til en let tilgængelig oversigt over den urskov at standarder der findes. Der er ligeledes behov for at især de mindre og stærkt specialiserede virksomheder kan få hjælp til hvordan de skal komme igennem certificeringerne. Dette projekt vil være en stor hjælp for dansk erhvervsliv over en bred kam, og det er derfor meget velkomment.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Tirsdag d. 29/5-18 kl. 10:30

Kære Henning.

Mange tak for din, støtte og dine kommentarer. Vi håber vi får bevilget projektet så vi kan støtte op om de behov du påpeger, så vi kan styrke danske erhvervsliv inden for dette område.

Venlig hilsen Gert Læssøe Mikkelsen.

Jacob Holm
Torsdag d. 31/5-18 kl. 09:12

Det her lyder som et rigtig godt projekt, som vi helhjertet støtter op om. Vi glæder os meget til at følge det.

Gert Læssøe Mikkelsen (Head of Security Lab. , Alexandra Instituttet A/S)
Torsdag d. 31/5-18 kl. 10:12

Kære Jakob.

Mange tak for din opbakning. Må jeg spørge hvilken virksomhed du er fra?

Venlig hilsen Gert Læssøe Mikkelsen