Ny rapport från AddSecure visar på bristande ansvar för IOT-säkerhet

I en rapport som tagits fram av AddSecure i samarbete med Ny Teknik identifieras riskområden hos svenska företag vad gäller säkerheten kring Internet of Things (IOT). Rapporten visar att 8 av 10 företag ser IoT-säkerhet som centralt, men bara lite mer än hälften anser att det egna företaget tar vara på de säkerhetslösningar som finns på marknaden.

Idag används smarta tjänster hos företag för allt från molntjänster och klimatsystem i fastigheter till fjärråtkomst till lastbilar, fartyg och övervakningskameror. Att fler saker kopplas upp mot internet innebär att organisationer blir mer automatiserade och effektiva, men det för även med sig att hackare och robotar nu också väljer att rikta attacker mot de nya IoT-enheterna.

– Det som är förvånande med resultatet i rapporten är att så många tycker att IOT-säkerhet är viktigt men samtidigt inte gör något åt det. Ungefär en fjärdedel av respondenterna uppger att de inte vidtar några särskilda åtgärder för att höja säkerheten för sina uppkopplade enheter idag, berättar Henrik Hjelte, IoT Solutions Manager på säkerhetsföretaget AddSecure.

Rapporten visar att var fjärde företag inte har ökat sin säkerhet i takt med digitaliseringen, och då särskilt små och medelstora företag. Svaren tyder därmed på att var tredje småföretag i Sverige kan ligga i riskzonen för intrång.

Innan sommaren kom Myndigheten för samhällsskydd och beredskap, MSB, ut med information och råd kring risker som är förenade med IoT och hur uppkopplade enheter kan hanteras säkrare. Att mer information kommer för att höja medvetenheten om de risker som är förenade med uppkopplade enheter ser Henrik Hjelte positivt på.

I AddSecures IOT-rapport uppger nästan hälften av respondenterna att de har gjort avkall på säkerheten på grund av tid eller kompetensbrist. En del av osäkerheten kring IoT-säkerhet kommer av att man inte riktigt vet hur man ska tolka säkerheten av uppkopplade produkter. Samtidigt råder det ibland otydlighet internt kring vem som ansvarar för den faktiska IoT-säkerheten.

– Ofta är det otydligt vem som är ansvarig för frågan internt. Vissa anser att ansvaret ligger på ledningsgruppen medan andra menar att det borde vara IT-avdelningen eller en säkerhetsansvarig. När olika avdelningar själva börjar koppla upp enheter som routrar, sensorer, molntjänster eller enheter som kan fjärrstyra fläktar, då blir det luddigt vem som är ansvarig, menar Henrik Hjelte.

Henrik Hjelte, Solutions Manager IoT.jpgHenrik Hjelte 

Att IT-avdelningen, som ofta är de som har mest kunskap om informationssäkerheten på ett företag, inte har kontroll över de enheter som kopplas upp kan indikera en riskexponering. Utöver att information kan kapas eller korrigeras blir det även vanligare med DDoS-attacker där uppkopplade enheter som inte är skyddade används i riktade attacker mot andra samhällsmål eller företag.

– Medvetenheten kring IoT-säkerhet är mycket högre idag än för några år sedan, men nu är det snarare en fråga om vad man ska göra åt det. Det går ofta inte att installera en brandvägg i varje enhet, men däremot bör man dölja och kryptera sina enheter för att förhindra att de upptäcks eller att intrång görs på dem. Då skyddar man både företagets data och bidrar samtidigt till att göra det svårare för hackare att genomföra större attacker på samhället, förklarar Henrik.

En intressant slutsats som kan dras från undersökningen är att de företag som har en intern säkerhetspolicy är mer riskmedvetna än de utan säkerhetspolicy. Idag saknar dock 45 % av företagen en policy för säkerhet kring IoT, något som är en tydlig indikation på att fler företag måste börja jobba mer aktivt på området.

– Mer än hälften av respondenterna svarade att de är bekymrade över säkerheten kring IoT idag. Det visar på vikten av att ha enkla och användarvänliga lösningar för IoT-säkerhet så att företag ska kunna känna sig tryggare i att digitaliseras och automatiseras. Det finns stora vinster för både samhälle och enskilda organisationer med att koppla upp sig, men då måste även IoT-säkerheten prioriteras, avslutar Henrik.

Undersökningen genomfördes bland Ny Tekniks läsare under våren 2018. Det går att ladda ned och ta del av IOT-rapporten samt AddSecures guide till ”IOT-säkerhet – lika enkelt som 1-2-3” .