Ny guide skal øge cybersikkerheden i IoT-produkter

Fjernsyn, elmålere og andre produkter, der kobles på nettet, findes efterhånden i de fleste danske hjem, men også på en lang række andre områder vinder IoT-produkter og -løsninger i stigende grad indpas både til privat og industriel brug. Det betyder også en øget risiko for cyberangreb og dermed et øget behov for at sikre, at der ikke er nogen, der fx får adgang til din netbank eller følsomme data gennem dit smartwatch. Derfor har Dansk Standard i samarbejde med Alexandra Instituttet og Force Technology lavet en ny guide, der skal bidrage til, at virksomheder, der arbejder med IoT-løsninger, prioriterer cybersikkerheden og får styr på de standarder, der kan hjælpe. 

IoT-produkter er et udsat mål for cyberangreb

- Vi er nødt til at højne sikkerheden i produkter bredt, hvad enten det handler om kaffemaskinen hjemme i køkkenet eller pumpestyringen på et tankskib. Den her type produkter er et udsat mål for cyberangreb, og vi har de senere år set mange eksempler, hvor hackere fx har fået adgang til følsomme data eller til regnekraften i en større mængde af de her enheder, og dermed har kunnet lægge store virksomheder ned, siger Jeppe Pilgaard Bjerre, specialist i Force Technology og medskribent på den nye guide, der skal hjælpe danske virksomheder med, hvordan man håndterer cybersikkerhed i produkter.

På europæisk plan er der endnu ingen regulering af området, men der findes en lang række standarder, der kan hjælpe virksomheder og organisationer med at systematisere deres tilgang til cybersikkerhed i IoT-produkter og -løsninger. Men selvom næsten en fjerdedel af danske virksomheder ifølge Danmarks Statistik anvender IoT, er der ikke det store kendskab til, hvad der findes af standarder med fokus på cybersikkerhed i IoT-produkter og -løsninger. Det viser en analyse om danske virksomheders arbejde med IoT-sikkerhed fra Alexandra Instituttet.

 - Vi oplever, at mange virksomheder har et ønske om at kunne dokumentere deres produkters sikkerhed. Kunderne efterspørger sikre produkter, men har svært ved at definere det nærmere og stiller krav, der stikker i alle retninger. Virksomhederne søger derfor efter en standard eller anden best practice, men vores oplevelse er, at de ofte tager den første standard, de hører om og som lugter lidt af sikkerhed. Det kan betyde, at virksomheden skyder langt over eller under målet for et passende sikkerhedsniveau, hvilket også kan medføre et spild af ressourcer, siger Michael Bladt Stausholm, Senior Security Architect i Alexandra Instituttet.

Michael Bladt Stausholm har også været med til at udarbejde den nye guide, som han håber, kan gøre det lettere for virksomhederne at finde den standard, som er relevant for deres produkt eller udfordring samt estimere, hvor stor en opgave det er at implementere den valgte standard.

Et værktøj til mindre virksomheder

Og det er netop formålet med guiden: at give danske virksomheder – særligt SMV’er – en hjælp til at systematisere arbejdet med cybersikkerhed i produkter ved at give et overblik over de væsentligste europæiske og internationale standarder på området, og indblik i hvornår hvilke standarder bør anvendes, og hvad værdien er.

- Guiden er henvendt til alle, som laver produkter, der kan kommunikere med noget andet – hvad enten det er til privat brug eller B2B-produkter. Den er et godt pejlemærke til at finde ud af, hvilke standarder der er relevante og kan hjælpe i forhold til, hvilken type produkt man har, hvilken type virksomhed man er og hvilken type problemstilling, man står med i forhold til sikkerheden. Der er jo stor forskel på, om du er helt grøn på området eller har erfaring i forvejen, uddyber Jeppe Pilgaard Bjerre.

Målet med guiden er er at få flere danske SMV’er til at orientere sig i standarder for cybersikkerhed i produkter og dermed bidrage til at højne cybersikkerheden.

- Guiden kan både bidrage til, at virksomheder, der arbejder med IoT-løsninger, prioriterer cybersikkerhed og den kan hjælpe SMV’er, der er aftagere af IoT-produkter, med at definere, hvilke krav til sikkerhed de skal stille til deres leverandører, siger Berit Aadal, seniorkonsulent i Dansk Standard og understreger, at det samtidigt kan være med til at understøtte danske virksomheders konkurrencekraft at fokusere på cybersikkerheden, fordi de dermed står stærkere på markedet.  

Om guiden

Guiden er særligt målrettet små og mellemstore virksomheder og giver et overblik over de væsentligste europæiske og internationale standarder for cybersikkerhed i produkter. Den indeholder en kort beskrivelse samt en vurdering af de forskellige standarder, så man på forholdsvis kort tid kan danne sig et overblik over, hvilke standarder det vil være relevant at kigge nærmere på. Standarderne er indplaceret i en livscyklusmodel vurderet ud fra nogle sammenlignelige kriterier og sammenlignet på tværs.

Guiden skal ikke nødvendigvis læses fra ende til anden, men kan anvendes som et opslagsværk. Da der løbende udvikles cybersikkerhedsstandarder inden for IoT-produkter og -løsninger, vil der være nogle af de omtalte standarder, der endnu ikke er udgivet.

Dansk Standard, Alexandra Instituttet og Force Technology har udarbejdet guiden i samarbejde med virksomheder og fageksperter fra hele det danske miljø omkring cybersikkerhed i produkter. Arbejdet er finansieret af Cyber Hub samt Erhvervsstyrelsen.

Guiden kan hentes gratis i Dansk Standards webshop.