UiO, SINTEF og Datatilsynet skaper løsninger.
De fleste anvendelser av Tingenes Internett (IoT) vil være som
sensorer for innsamling av data. Ofte vil disse dataene være relatert
til mennesker, som dermed gjør at dataene regnes som personopplysninger.
– Det raskt økende antall IoT-dingser vil skape en tsunami av personopplysninger, som igjen kan medføre enorme konsekvenser i henhold til lovverket for de som samler inn personopplysninger, sier fagdirektør Veronica Buer i Datatilsynet.
– Innsamling av personopplysninger skal ha et hjemmelsgrunnlag, enten via lov eller via samtykke. Samtykke fra den det samles inn personopplysninger om, kan for eksempel gjøres via et web-grensesnitt. Dette kan være vanskelig å få til for tingenes internett, og det må derfor kanskje gjøres på andre og nye måter, fortsetter Buer.
– Når det oppstår motstridende interesser ved digitale tjenester er det ikke alltid at personvern vinner, sier masterstudent Mayouran på UiO.
– Som oftest vil innovatører prioritere nyskapende funksjonelle løsninger. Dette skyldes blant annet kravet om å levere resultater innen begrensede tidsrammer og ressurser. Dermed blir utviklere ofte presset til å prioritere personvern lavere enn funksjonalitet og brukeropplevelse, fortsetter Mayouran.
Som en del av sin masteroppgave har Mayouran utviklet en modenhetstest, et viktig element for å sjekke samsvar mellom kravene til personvern, herunder krav til informasjonssikkerhet og funksjonalitet i utvikling av IoT-tjenester. Førsteamanuensis Nils Gruschka fra UiO og fagdirektør Veronica Buer fra Datatilsynet er veiledere for Mayouran. Løsningen han jobber med består av en smart webtjeneste som vurderer personvern, og samtidig gir spesifikke og skreddersydde anbefalinger om hvordan virksomheter kan utvikle IoT-tjenester med innebygd personvern. Tanken bak denne løsningen er å gi virksomhetene god veiledning basert på Datatilsynets veileder for «Programvareutvikling med innebygd personvern».
– Forhåpentligvis vil denne løsningen gjøre det praktisk og enkelt å ivareta personvern og informasjonssikkerhet i IoT, sier Mayouran.
– Innebygd personvern krever at du har på plass et rammeverk for utvikling. Modenhetstesten som Mayouran har utviklet i forbindelse med sin masteroppgave kan være et viktig bidrag for IoT-utviklere for å sjekke at de er i samsvar med regelverket, sier Buer.
IoT skaper både muligheter og risikoer
Tingenes internett (IoT), betyr at alle slags dingser kobles til Internett. Når disse enhetene ikke bare er smarttelefoner og nettbrett, men også for eksempel sensorer i smarte hjem, i industrien, i kjøretøy, og på mennesker og dyr, kan vi lage avanserte tjenester som aldri før var mulig.
– Potensialet for verdiskaping gjør at IoT er under stadig oppblomstring. Samtidig skaper dette en enorm eksponering for nye risikoer. Dataene blir potensielt mer sensitive. Mennesker, kritiske tjenester og infrastrukturer blir mer sårbare. Digital innovasjon er en del av fremtiden, og vi er avhengig av å kunne stole på tjenestene. IoT må utvikles med innebygd sikkerhet, sier seniorforsker Aida Omerovic fra forskningsinstituttet SINTEF.
– Samtidig er ikke teknologi alene tilstrekkelig for å håndtere risikoene. Sikkerhet og personvern må også blant annet ivaretas gjennom god beredskap, prosesser og bevissthet, legger hun til.
– Disse aspektene går hånd i hånd og kompetansen står i sentrum for å lykkes med sikkerhetsstyringen, fortsetter Omerovic.
– IoT-tjenester vil ofte være skybasert og inkludere mange aktører og ulike datasentre rundt omkring på Internett. Dette gjør at IoT får en stor eksponeringsflate overfor digitale trusler, sier forsker Gencer Erdogan på SINTEF.
– Smidig utvikling av skybaserte tjenester kalles gjerne DevOps, som betyr å kombinere utvikling (Dev) og drift (Ops). Når det samtidig gjøres med innebygd sikkerhet heter det DevSecOps, sier Erdogan.
– SINTEF jobber nettopp med å lage verktøy for risikobasert, sikker, smidig utvikling av IoT-tjenester legger han til.
Omerovic og Erdogan fremhever også viktigheten av utdanning i digital sikkerhet. De er begge veiledere for UiO-studenter på master- og doktorgradsnivå, og i samarbeid med EU-prosjektet CYBERWISER.eu utvikler de løsninger for effektiv læring og kontinuerlig oppdatering av sikkerhetskompetanse.
Undervisning i digital sikkerhet på UiO
– IT-eksperter må ha kunnskap om digital sikkerhet på samme måte som bygningsarkitekter må ha kunnskap om brannsikkerhet, sier professor Audun Jøsang ved Institutt for informatikk (IFI) på UiO.
– Vi utdanner informatikere med god kompetanse i digital sikkerhet. Som IT-eksperter i industrien vil de sørge for at nye IoT-tjenester har innebygd sikkerhet og personvern. UiO har et komplett undervisningstilbud i informasjonssikkerhet både på bachelor- og masternivå. Faget «etisk hacking» er svært populært blant studentene på IFI, sier PhD-student Tamas Bisztray.
– Her lærer studentene de samme teknikkene som nettopp brukes av hackere. Noen syns kanskje dette er kontroversielt, men det burde det ikke være, sier faglærer Laszlo Erdödi.
For å
kunne forsvare seg mot hackere er det helt nødvendig å ha kunnskap om
metodene som kriminelle hackere benytter. Derfor er det viktig å lære
etisk hacking når man studerer informasjonssikkerhet. Forskjellen mellom
en hacker og en etisk hacker er forskjellen mellom å være kriminell og
lovlydig profesjonell. Hackere bryter seg inn i andres systemer for egen
vinning uten å spørre om lov, noe som er kriminelt. En etisk hacker
derimot bryter seg inn i systemer på oppdrag fra systemets eier for å
avdekke mulige svakheter, noe som er en jobb for profesjonelle. Etisk
hacking kalles gjerne pen-testing (penetration testing) på fagspråket,
og pen-testing av IoT-enheter er også noe studentene lærer på UiO.
Av Audun Jøsang (UiO), Veronica Buer (Datatilsynet), Aida Omerovic (SINTEF), Gencer Erdogan (SINTEF)
