Utviklingen av nye IoT-baserte infrastrukturer i samfunnet – utfordringer for nasjonal sikkerhet (revidert rapport)

Forfatter
Farsund, Bodil Hvesser
Søndrol, Torkjel
Nystuen, Kjell Olav
Hornfelt, Lars
Sellevåg, Stig Rune
Pham, Vinh
Publisert
2022-03-07
Emneord
Tingenes internett (IoT)
Kritisk infrastruktur
Nasjonal sikkerhet
Rapportnummer
22/00631
Permalenke
http://hdl.handle.net/20.500.12242/3011
Samling
Rapporter
22-00631.pdf
Size: 1M
Sammendrag
Bakgrunnen for denne studien er at man forventer en stor vekst i bruk av Internet of Things (IoT) i hele samfunnet, ikke minst i forbindelse med at 5G bygges ut. IoT vil i økende grad bli brukt til å underholde oss, gjøre hverdagen vår enklere, byer mer ressurseffektive, industri-bedrifter mer kostnadseffektive og til å gi oss bedre offentlige tjenester. Det kan også gi oss et bedre forsvar. IoT er ofte komplekse systemer og omfatter som regel flere ulike teknologier som trådløs kommunikasjon, skytjenester, stordata og kunstig intelligens. Med økt bruk av IoT vil vi få helt nye infrastrukturer, infrastrukturene som allerede finnes vil få nye egenskaper, og det vil være vanskelig å vite hvilke infrastrukturer som er kritiske. Økt bruk av IoT vil gi mange fordeler, men det vil også utfordre nasjonale sikkerhetsinteresser. Vi har gjennom arbeidet med denne rapporten identifisert tre grunnleggende utfordringer. Disse har vi kalt økt innsamling av data, større angrepsflate og mer komplekse infrastrukturer. IoT-systemene samler ofte inn detaljerte data fra deres brukere og/eller miljø, og disse dataene havner ofte i utlandet. Tester vi har utført på noen tilfeldige IoT-produkter rettet mot forbruker-markedet bekrefter dette. Det er vanskelig å beskytte seg mot denne datainnsamlingen, og det er en opplagt utfordring både når det gjelder etterretningstrusselen og personvern. Siden IoT-systemene omfatter flere ulike teknologier og komponenter, som kan ligge i ulike geografiske områder, vil disse systemene ha en stor angrepsflate. Dette gir økt sårbarhet mot både konfidensialitets-, integritets- og tilgjengelighetsangrep. Disse IoT-systemene vil inngå i infrastrukturer som vil være svært komplekse. Kompleksiteten er blant annet knyttet til at disse infrastrukturene ofte er svært dynamiske og at de innehar mange interne og eksterne avhengigheter. Dette vil gi en stor sårbarhet og er den største utfordringen vi ser med økt bruk av IoT. Utviklingen vi ser her er drevet av globale kommersielle interesser det er vanskelig å begrense eller styre. For å kunne møte utfordringene økt bruk av IoT medfører, mener vi det er to områder som peker seg ut som spesielt viktig. Det første er å utvikle metoder for å kunne vurdere risiko av komplekse infrastrukturer. Hendelseshåndtering og vurdering av ulike forebyggende tiltak knyttet til kritiske infrastrukturer og nasjonal sikkerhet krever et oppdatert og helhetlig risikobilde. Et slikt bilde må evne å innlemme kompleksiteten og beskrive den usikkerheten som opplagt er tilstede. I dag mangler man tilstrekkelig kunnskap og metoder for å utvikle dette. Det andre området vi ser at er viktig omhandler kontinuerlig kunnskapsutvikling og -forvaltning, og dette innenfor mange fagfelt. Her vil det være helt essensielt med en metode for å kunne sette denne kunnskapen i system.
This study was initiated because of the expected increase of Internet of Things (IoT) in our society, which will accelerate with the 5G deployment. IoT will be used to entertain us, make our everyday life more simple, cities more resource efficient, industries more cost efficient, and give us better public services. It may also give us an improved national defense. IoT are often complex systems consisting of multiple different technologies, such as wireless protocols, cloud services, big data and artificial intelligence. The increased use of IoT will result in new infrastructures, provide new abilities and characteristics to existing infrastructures, and it will be difficult to tell which of the infrastructures are critical. Increased IoT usage will provide many advantages, but it will also challenge our national security interests. We have through this research identified three basic challenges named increased data collection, larger attack surfaces and more complex infrastructures. IoT systems often gather detailed data from their users and/or environment, and these data are often sent abroad. Tests performed by us on some arbitrary consumer IoT products confirm this. It is difficult for the end user to protect herself from this data gathering, and it is an obvious challenge regarding both foreign intelligence and privacy. As IoT systems consists of multiple technologies and components, which may be located at different geographical areas, they will have a large attack surface. This increases its vulnerability regarding attacks on confidentiality, integrity and availability. IoT systems will be part of very complex infrastructures. This complexity is because of all the dependencies between the infrastructures, and the fact that they are dynamic. This makes them vulnerable, and is what we consider the greatest challenge with the increased IoT usage. As we see it, the development is driven by global commercial interests that are difficult to control. We have identified two important areas when it comes to meeting the challenges caused by the increased IoT usage. First is establishing methods for risk assessment of complex infrastructures. It is necessary to have an updated and correct risk picture when doing event handling and assessing various preventing measures for critical infrastructure and national safety. This must include the complexity and describe the uncertainty that obviously will be present. We do lack the necessary methods and knowledge to perform such risk pictures today. The second area relates to continuously develop and maintain knowledge within multiple disciplines. It will be essential to have methods for converting this knowledge into practice.
View Meta Data