Styrkelse af dansk IoT-sikkerhed
IoT-sikkerhed er en stigende udfordring for alle virksomheder, der bruger IoT i infrastruktur og produkter. Det er derfor vigtigt, at danske virksomheder har kompetencerne til at kunne vælge sikre IoT-løsninger, og at danske producenter har kompetencerne til at udvikle og producere sikre IoT-produkter. Det er vigtigt at opretholde det brand omkring kvalitet, som danske produktionsvirksomheder generelt har. En amerikansk undersøgelse har vist, at dårlig IoT-sikkerhed har direkte økonomiske konsekvenser for virksomhederne, og at brand og omdømme er de vigtigste parametre, når virksomheder skal vælge IoT-sikkerhedsløsninger.Center for Cybersikkerhed (CfCS), vurderer truslen for cyberspionage og -kriminalitet til at være meget høj , både generelt for danske virksomheder og mod konkrete sektorer, senest sundhedssektoren , hvor også truslen fra dårlig IoT-sikkerhed fremhæves. Dårlig IoT-sikkerhed er en trussel for:
1. Den enkelte borger eller virksomhed i form af læk af følsomme personlige eller virksomhedsdata.
2. Ejeren af produktet, i form af f.eks. en infrastruktur der ikke virker. I 2016 mistede 900.000 Deutsche Telecom-kunder adgang til internettet direkte på grund af dårlig IoT-sikkerhed .
3. Samfundet. Et lignende angreb gjorde visse dele af internettet utilgængeligt i 2016 .
4. Producenten af produktet, som bliver valgt fra på grund af dårlig sikkerhed.
Nogle danske virksomheder tager heldigvis denne udfordring alvorligt og arbejder i stigende grad på at forbedre IoT-sikkerheden i deres produkter, men der er brug for at få alle med. Desuden er der mange danske produktionsvirksomheder, der først nu eller i de kommende år vil begynde at forbinde deres produkter til internettet og gøre dem smarte. Det er vigtigt, at de også har fokus på IoT-sikkerheden.
Målgruppen for denne aktivitet er bred men er hovedsageligt produktionsvirksomheder inden for SMV-segmentet. Mange af disse virksomheder er i disse år i gang med at digitalisere både produktion og produkter, og mange af disse virksomheder er leverandører til sektorer, hvor der kommer krav omkring sikkerhedsniveauer. Det gælder både inden for kritisk infrastruktur (NIS direktivet) og i f.eks. bygningsreglementet. For at sikre et tilstrækkeligt niveau af IoT-sikkerhed i forhold til truslerne, og for at kunne dokumentere dette, er det nødvendigt for virksomhederne at kigge på standarder og certificeringer.
Der findes allerede guides og standarder på området, men de er ofte branchespecifikke eller nicheorienterede og ikke bredt accepteret til hverken industri-eller forbrugerprodukter. EU har foreslået frivillige krav om certificering af IKT-produkter, og der begynder at komme standarder som f.eks. UL2900-1, UL2900-2, IEC 62443 og ISO/IEC 27034. Mange af disse standarder er dog forholdsvis omfattende – hvilket er en hindring specielt for opstarts- og mindre virksomheder . Samtidig har European Cyber Security Organisation (ECSO) afdækket, at der findes ca. 290 standarder, som omhandler sikkerhed i bred forstand . Det viser, at alene mængden af generelle standarder gør det vanskeligt for virksomheder at vide, hvilken de skal efterleve inden for deres sektor.
Denne aktivitetsplan vil sikre, at GTS-institutterne i fællesskab er i stand til at levere ydelser og hjælp til at kortlægge standardiserede krav til virksomheders cybersikkerhed omkring både brug og udvikling af IoT-produkter samt dokumentere disse krav. Dette bliver opfyldt via følgende to hovedaktiviteter:
1. Skabe overblik over standarder og krav, blandt andet ved desk research og konferencedeltagelse samt ved deltagelse i internationale organisationers arbejde og standardiseringsarbejde omkring IoT-sikkerhed. Både for at medvirke til, at de relevante standarder kommer til at passe med danske virksomheders (herunder SMV’ers) behov, og for at hente viden hjem og kunne certificere virksomheder og produkter ud fra relevante standarder. Dette er kontinuert arbejde, der vil række ud over projektperioden på to år, men denne aktivitet vil sikre, at vi kan komme i gang med at udvikle ydelser og kommer hurtigt ind i standardiseringsarbejdet på området.
2. Udarbejde guides og best practice-beskrivelser rettet mod virksomhederne, så de nemt kan få oversigt over relevante standarder, og i hvilken grad de kan leve op til dem. Best practice-beskrivelserne vil blandt andet blive udarbejdet på baggrund af de virksomheder, der allerede arbejder med IoT-sikkerhed.
Output fra aktivitetsplanen:
Output vil være rådgivningsydelser men i højere grad evaluerings- og certificeringsydelser. Via rådgivningsydelserne vil GTS-institutterne kunne hjælpe virksomhederne med at højne deres IoT-sikkerhed og udvikle sikrere produkter samt give dem viden om, hvilke standarder der er relevante for dem, og hvad der skal til for at leve op til dem. Via evaluerings- og certificeringsydelserne vil GTS-institutterne kunne evaluere og certificere, at virksomhederne lever op til relevante standarder, således at virksomhederne kan dokumentere dette over for både kunder og myndigheder.
