En sikkerhedsforsker købte en babyalarm på nettet. Få uger senere havde han adgang til 1,1 millioner kameraer i 118 lande. Den sårbarhed, han fandt, sidder i samme type platform, som driver IP-kameraerne på jeres kontor.
300 mærker, én sårbar platform
Forskeren fandt fem kritiske sårbarheder i en kinesisk kameraplatform, der leverer hardware, firmware, cloud og mobilapp til over 300 forskellige mærker. Forskellige logoer i butikken. Samme sårbare system bag facaden.
Den alvorligste fejl var fundamental: Enhver med en gratis konto kunne modtage billeder fra andres kameraer. Bevægelsesbilleder blev uploadet til offentlig cloud-lagring uden adgangskode, uden udløbsdato, uden kryptering. Alle apps delte de samme faste krypteringsnøgler, som var kodet direkte ind i softwaren.
Producenten brugte 47 dage på overhovedet at anerkende problemet. Det er stadig uklart, om berørte kunder er underrettet.
Ikke en forbrugerhistorie
Det lyder som et problem for folk med babyalarmer. Det er det ikke. Nøjagtig samme white-label-model bruges i erhvervs-IoT. IP-kameraer til kontoret, adgangskontrol til bygningen, sensorer til ventilation og varme.
Jeres leverandør installerer udstyret. Men leverandøren har sjældent bygget firmwaren. Den ligger hos en producent, I aldrig har hørt om og aldrig har haft en kontrakt med.
38 procent bruger IoT. 68 procent outsourcer sikkerheden.
Ifølge danske statistikker bruger 38 procent af danske virksomheder IoT-teknologier som overvågningskameraer, adgangskontrol og sensorer. Samtidig bruger 68 procent eksterne leverandører til IT-sikkerhed. Det betyder, at de fleste virksomheder med kameraer og sensorer er afhængige af en leverandør, der heller ikke nødvendigvis ved, hvem der byggede firmwaren.
Ingen i kæden ejer problemet
Kontrakten er med forhandleren. Forhandleren kontrollerer ikke firmwaren. Producenten kender ikke jer. Ingen i kæden har både ansvaret og kapaciteten til at løse problemet, når sårbarhederne opdages.
NIS2 kræver, at I dokumenterer jeres leverandørkæderisiko. Men hvis I ikke kan identificere, hvem der producerede firmwaren i jeres adgangskontrolsystem, kan I heller ikke vurdere risikoen.
Tre ting at gøre nu
Kortlæg alle internetforbundne enheder denne uge. Kameraer, adgangskontrol, sensorer, printere. For hver enhed: Find ud af, hvem der producerede firmwaren, og hvem der driver cloud-platformen bag den.
Stil jeres IT-leverandør tre spørgsmål. Hvem byggede firmwaren i de enheder, I har installeret hos os? Kan enheden modtage sikkerhedsopdateringer om tre år? Og hvad sker der med vores data, hvis producenten bag platformen ophører?
Placér alle IoT-enheder på et separat netværk. Et kompromitteret kamera på samme netværk som jeres ERP-system er en åben dør. Segmentering er ikke avanceret. Det er den mest basale forsikring mod, at ét svagt led bliver til total adgang.
Et leverandøraudit kan afdække, hvem der reelt kontrollerer firmwaren i jeres IoT-enheder, og om leverandørkæden matcher jeres risikovurdering. En penetrationstest viser, om et kompromitteret kamera kan nå jeres kritiske systemer.
Hvornår spurgte I sidst jeres leverandør, hvem der faktisk byggede firmwaren i de kameraer, der hænger i jeres lokaler?
Har du brug for et leverandøraudit eller en gennemgang af jeres IoT-sikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
