Sikkerheden der blev væk

Smarte enheder og hjemmeautomatisering giver usikre hjem - producenterne skyder ansvaret fra sig

Smarte telefoner, smarte armbånd, smarte ure, smarte hjem. Listen over smarte enheder bliver hele tiden længere, og det er godt – er det ikke?

Både jo og nej, for når den umiddelbare fascination har lagt sig, så må vi kigge meget nøje på os selv, og ikke mindst producenterne af de intelligente enheder, og spørge – ’hvor blev sikkerheden lige af?’

En nylig undersøgelse af et større sikkerhedsfirma har vist, at vores nye kropsnære teknologier, de kendte smarte ure og armbånd, har en kedelig tendens til at sende information helt ukrypteret op til de tjenester, der er knyttet sammen med armbånd/ur. Samtidig er der endda mange af dem, der sender personlig information videre, så den kan bruges til direkte marketing rettet mod os forbrugere.

Men det bliver stadig mere betænkeligt. I løbet af det sidste år er de fleste el-målere i Danmark blevet skiftet ud af enheder, der kan aflæses direkte fra el-værket. Men på trods af kritiske røster om manglende sikkerhed, så er der mig bekendt ikke gjort noget som helst for at beskytte mod angreb fra cyberkriminelle.

Med smartphonen som nøgle

Det samme gælder de nye systemer, som vi så så mange af på årets IFA-messe i Berlin. Her var der systemer, der kan overvåge vores hjem, når vi ikke er hjemme. Hvor vi automatisk kan slukke for strygejernet, når vi sidder i bussen eller få systemet til at slukke for en afbryder, hvis den bliver for varm, så der er risiko for kortslutning.

Eller – hvad med at forvandle din smartphone til en hoveddørsnøgle? Din trofaste kammerat kan nu låse op for din hoveddør bare du nærmer dig den. Det billede lader vi lige stå lidt – hoveddøren bliver automatisk låst op bare du nærmer dig …

Er det smart? Nej det er skræmmende. Ikke noget med at du skal have din mobil op ad lommen, indtaste en kode og derefter vælge at låse din hoveddør op. Næ – bare du kommer i nærheden af din hoveddør, så er der låst op.

Hvis så det var normen at folk passer godt på deres smartphone, så ville problemet måske være mindre, men der bliver forlist og stjålet smartphones hver eneste dag. Lur mig om ikke dine personlige oplysninger står i den, så personen, der har fået fat i din smartphone, kan gå hen til din hoveddør og lige ind. Det er heller ikke specielt svært at finde dine personlige oplysninger, for det er stadig kun de færreste, der rent faktisk beskytter deres smartphone med en kode.

Den åbne dørs politik

Men hvad så med hjemmeautomatiseringen, spørger I nu. Hvor er problemet der? Det skal jeg sige jer. Under IFA spurgte jeg adskillige producenter, hvordan de beskyttede folks oplysninger, og ikke mindst adgangen til portalen. Svaret var nedslående – et sølle brugernavn og adgangskode var alt, der blev krævet for at komme ind i systemet. 

Når jeg spurgte om de ikke følte sig forpligtet til at gøre sikkerheden god som muligt kom der forskellige versioner af samme svar, og de lød nogenlunde sådan her: ”Vi opfordrer vores brugere til at have et kompliceret password.”

Jo tak – nu er det jo ikke just nogen hemmelighed at de fleste genbruger deres passwords rigtig mange gange, så hvis en tilfældig tjeneste bliver hacket, så er der stor risiko for, at de passwords og brugernavne kan bruges til at logge ind på overvågningsportalen.

Samtidig er det ikke fordi webtjenester aldrig bliver hacket, vel? Tænk på Dropbox, LinkedIn, Amazon, bare for at nævne et par stykker. Så hvis de cyberkriminelle finder ud af, at de kan få direkte adgang til tusindvis af hjem, mon så ikke de ville sætte alle sejl ind på at hacke sådan en portal?

Hvis de først kommer ind, så kan de overvåge dit hjem, se hvornår du går og vupti køre over til dit hus, tømme det for værdier (som de jo allerede ved hvor er), og køre igen.

Skræmmende ansvarsforlæggelse

Jeg tvivler ikke på at vi kommer til at se masser af nye intelligente enheder og smarte hjem. Jeg er heller ikke i tvivl om, at vi også snart kommer til at læse overskrifter om at folks hjem bliver lænset for værdier af tyve, der har brugt husets eget overvågningssystem til at holde øje med beboerne.

Indtil videre er der dog ingen der vil tage ansvar for sikkerheden. Producenterne puffer ansvaret over på brugerne, brugerne aner langt hen ad vejen ikke hvad de gør, og ender med statsgaranti med at blive taberne. For hvem skal dække det mistede? Mon ikke forsikringsselskaberne nok skal slå sig i tøjret, når de finder ud af at de virtuelle døre og vinduer har været pivåbne?

Det bringer mig tilbage til vores smarte el-målere. Det er skønt, at jeg ikke skal huske at aflæse den. Men husk lige på, at der sidder en programmerbar chip i dem, og hvis de cyberkriminelle kan hacke dem – og hvorfor skulle de ikke kunne det – så kan de i princippet ændre på forbrug, slå el-målere til og fra som de lyster, og virkelig forvolde skade på infrastrukturen i et land.

Jeg håber at producenter og politikere begynder at tage it-sikkerhed alvorligt. Det er ikke ok at smide ansvaret over på forbrugerne.

Del artiklen på

Om Lars Bennetzen (3661 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.