Ny guide skal øge cybersikkerheden i IoT-produkter

11. januar 2022

Ny guide skal øge cybersikkerheden i IoT-produkter

Antallet af produkter, der kobles på internettet, har for længst vokset sig større end den samlede verdenspopulation. Men vores øgede afhængighed af digitale teknologier, øger også risikoen for cyberangreb. En ny guide skal være med til at øge cybersikkerheden i produkter.

Fjernsyn, elmålere og andre produkter, der kobles på nettet, findes efterhånden i de fleste danske hjem, men også på en lang række andre områder vinder IoT-produkter og -løsninger i stigende grad indpas både til privat og industriel brug. Det betyder også en øget risiko for cyberangreb og dermed et øget behov for at sikre, at der ikke er nogen, der fx får adgang til din netbank eller følsomme data gennem dit smartwatch. Derfor har Dansk Standard i samarbejde med Alexandra Instituttet og Force Technology lavet en ny guide, der skal bidrage til, at virksomheder, der arbejder med IoT-løsninger, prioriterer cybersikkerheden og får styr på de standarder, der kan hjælpe.

IoT-produkter er et udsat mål for cyberangreb

- Vi er nødt til at højne sikkerheden i produkter bredt, hvad enten det handler om kaffemaskinen hjemme i køkkenet eller pumpestyringen på et tankskib. Den her type produkter er et udsat mål for cyberangreb, og vi har de senere år set mange eksempler, hvor hackere fx har fået adgang til følsomme data eller til regnekraften i en større mængde af de her enheder, og dermed har kunnet lægge store virksomheder ned, siger Jeppe Pilgaard Bjerre, specialist i Force Technology og medskribent på den nye guide, der skal hjælpe danske virksomheder med, hvordan man håndterer cybersikkerhed i produkter.

På europæisk plan er der endnu ingen regulering af området, men der findes en lang række standarder, der kan hjælpe virksomheder og organisationer med at systematisere deres tilgang til cybersikkerhed i IoT-produkter og -løsninger. Men selvom næsten en fjerdedel af danske virksomheder ifølge Danmarks Statistik anvender IoT, er der ikke det store kendskab til, hvad der findes af standarder med fokus på cybersikkerhed i IoT-produkter og -løsninger. Det viser en analyse om danske virksomheders arbejde med IoT-sikkerhed fra Alexandra Instituttet.

- Vi oplever, at mange virksomheder har et ønske om at kunne dokumentere deres produkters sikkerhed. Kunderne efterspørger sikre produkter, men har svært ved at definere det nærmere og stiller krav, der stikker i alle retninger. Virksomhederne søger derfor efter en standard eller anden best practice, men vores oplevelse er, at de ofte tager den første standard, de hører om og som lugter lidt af sikkerhed. Det kan betyde, at virksomheden skyder langt over eller under målet for et passende sikkerhedsniveau, hvilket også kan medføre et spild af ressourcer, siger Michael Bladt Stausholm, Senior Security Architect i Alexandra Instituttet.

Michael Bladt Stausholm har også været med til at udarbejde den nye guide, som han håber, kan gøre det lettere for virksomhederne at finde den standard, som er relevant for deres produkt eller udfordring samt estimere, hvor stor en opgave det er at implementere den valgte standard.

Et værktøj til mindre virksomheder

Og det er netop formålet med guiden: at give danske virksomheder – særligt SMV’er – en hjælp til at systematisere arbejdet med cybersikkerhed i produkter ved at give et overblik over de væsentligste europæiske og internationale standarder på området, og indblik i hvornår hvilke standarder bør anvendes, og hvad værdien er.

- Guiden er henvendt til alle, som laver produkter, der kan kommunikere med noget andet – hvad enten det er til privat brug eller B2B-produkter. Den er et godt pejlemærke til at finde ud af, hvilke standarder der er relevante og kan hjælpe i forhold til, hvilken type produkt man har, hvilken type virksomhed man er og hvilken type problemstilling, man står med i forhold til sikkerheden. Der er jo stor forskel på, om du er helt grøn på området eller har erfaring i forvejen, uddyber Jeppe Pilgaard Bjerre.

Målet med guiden er er at få flere danske SMV’er til at orientere sig i standarder for cybersikkerhed i produkter og dermed bidrage til at højne cybersikkerheden.

- Guiden kan både bidrage til, at virksomheder, der arbejder med IoT-løsninger, prioriterer cybersikkerhed og den kan hjælpe SMV’er, der er aftagere af IoT-produkter, med at definere, hvilke krav til sikkerhed de skal stille til deres leverandører, siger Berit Aadal, seniorkonsulent i Dansk Standard og understreger, at det samtidigt kan være med til at understøtte danske virksomheders konkurrencekraft at fokusere på cybersikkerheden, fordi de dermed står stærkere på markedet.  

Om guiden

Guiden er særligt målrettet små og mellemstore virksomheder og giver et overblik over de væsentligste europæiske og internationale standarder for cybersikkerhed i produkter. Den indeholder en kort beskrivelse samt en vurdering af de forskellige standarder, så man på forholdsvis kort tid kan danne sig et overblik over, hvilke standarder det vil være relevant at kigge nærmere på. Standarderne er indplaceret i en livscyklusmodel vurderet ud fra nogle sammenlignelige kriterier og sammenlignet på tværs.

Guiden skal ikke nødvendigvis læses fra ende til anden, men kan anvendes som et opslagsværk. Da der løbende udvikles cybersikkerhedsstandarder inden for IoT-produkter og -løsninger, vil der være nogle af de omtalte standarder, der endnu ikke er udgivet.

Dansk Standard, Alexandra Instituttet og Force Technology har udarbejdet guiden i samarbejde med virksomheder og fageksperter fra hele det danske miljø omkring cybersikkerhed i produkter. Arbejdet er finansieret af Cyber Hub samt Erhvervsstyrelsen.

Guiden kan hentes gratis i Dansk Standards webshop.

Se også: Video: Guide til Cybersikkerhed i produkter (IoT) - lancering af dansk specifikation

 

 

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39966296

Se også

10. juni 2022

Se eller gense webinaret om de nye strukturer og foranstaltninger i ISO/IEC 27001 og 27002

Webinaret henvender sig til alle, der arbejder med informationssikkerhed, og som ønsker en hurtig introduktion til ISO/IEC 27001 og ISO/IEC 27002, samt de nye ændringer i de reviderede udgaver.

Video: Webinar om EU’s initiativer inden for cybersikkerhed

25. maj 2022

Video: Webinar om EU’s initiativer inden for cybersikkerhed

Dette webinar giver dig et overblik over, hvilke yderligere initiativer der er på vej. Derudover dykker vi ned i nogle af de enkelte initiativer så som det nye NIS-direktiv (NIS2) og Cybersecurity Act. Vi ser også nærmere på, hvad initiativerne ko...

Få overblik over den nye ISO 27002 i denne Podcast

05. maj 2022

Få overblik over den nye ISO 27002 i denne Podcast

Hør denne podcast, hvor Lasse Kaltoft fra Dansk Standard forklarer i ændringerne i den nye ISO 27002-version, som sammen med ISO 27001 er de mest anvendte standarder inden for informationssikkerheder.

Danmark har en styrkeposition inden for AI

08. marts 2022

Dansk styrkeposition inden for AI giver gode forudsætninger for at tage næste skridt

Danmark har nogle af de bedste uddannelsesinstitutioner inden for kunstig intelligens (AI) i Europa, vi går forrest i udviklingen af standarder på området, og mange virksomheder eksperimenterer med det. Derfor er Danmark godt rustet til at anvende...