Är digitaliseringen säker? Christer Åhlund, Luleå tekniska universitet och Lisa Kaati, Totalförsvarets forskningsinstitut/uppsala universitet
Regeringens samverkansprogram och Digital säkerhet Nästa generations resor och transporter Smarta städer Cirkulär och biobaserad ekonomi Life Science Uppkopplad industri och nya material Prioriteringar Digital säkerhet och tillförlitlighet???? Strategisk forskning och innovation U&H WASP
Är digitaliseringen säker? (ett perspektiv) Christer Åhlund Prof. Distribuerade datorsystem Möjliggörande IKT Lisa Kaati IoT Sverige Uppsala Universitet/FOI
Digitalisering + Innovation+IKT säkerhet En intressant kombination av möjligheter varje digitalt hot kräver ett innovativt motmedel
Vad är digitalisering I En digital agenda i människans tjänst-delbetänkande av Digitaliseringskommissionen 2014 (SOU 2014:13) kan läsas: Digitalisering används i dag vanligen i två olika betydelser. Dels som informationsdigitalisering, det vill säga omvandling av information till digital form, dels som samhällelig digitalisering, det vill säga (ökad) användning av it i bred bemärkelse i samhället.
Vad är digitalisering I Gör Sverige i framtiden-delbetänkande av Digitaliseringskommissionen 2015 (SOU 2015:28) kan läsas: Digitalisering innebär att digital kommunikation och interaktion mellan människor, verksamheter och saker blir självklara. Möjligheten att samla in, tolka, tillämpa och utveckla allt större kvantiteter av data digitalt, medför att det uppstår utvecklingsmöjligheter inom de flesta områden. Vad vi gör, hur vi gör och vad som går att göra förändras i och med digitaliseringen. Allt större delar av tillvaron är digitaliserad samtidigt som det i allt mindre grad går att skilja ut det digitala från det ickedigitala.
En ny idé Vad är en innovation
Vad är IKT-säkerhet Skydd av datorsystem från stöld och förstörelse av hård och mjukvara samt information
Digitalisering..möjligörs med informations och kommunikationsteknologi(ikt). Det krävs att vi kan Säkerställa källan som skapar data/information Validera korrekthet i data/information Skydda data/information från obehörig åtkomst Tillhandahålla tillgänglighet
Intressanta områden Uppkopplad/uppkopplat Samhällsinfrastruktur (broar, vägar, byggnader, m.fl) Hem Bilar Hälso, sjukvård Godtyckliga ting-sakernas Internet (IoT)
Autentisering Behov av säkerhet Skaparen av data/information och validering av dess originalitet Åtkomsträttigheter till system samt data och information Konfidentialitet Endast tolkningsbart för behöriga
Integritet Behov av säkerhet Information som kan vara skadlig för individ och organisation skyddas Tjänstetillgänglighet Åtkomst till nätverk, servrar (DNS, molnplattformar, m.m)
Kryptering AES, RSA Autentisering Följande krävs Hash, MAC för information Lösenord för accesskontroll Hantering av nycklar Symmetriska, asymmetriska K AB = a x A. xb mod q Bildern är från Cryptography and Network Security, W. Stallings
Skydd av algoritmer och nycklar Algoritmerna som används inom IKT-säkerhet ska anses som öppna Initialt så försökte dessa hemlighållas men information läckte ofta ut
Exempel:RSA Skapa RSA nycklar 1.Välj primtal, ex: p=17 & q=11 2.Beräkna n = pq =17 x 11=187 3.Beräkna ø(n)=(p 1)(q-1)=16 x 10=160 (Euler s totient funktion) 4.Välj e: gcd(e,160)=1; ger e=7 5.Bestäm d: de=1 mod 160 och d < 160 ger d=23 då 23x7=161= 10x160+1 (Euler s teorem) 6.Publik nyckel PU={7,187} 7.Privat nyckel PR={23,187} Enkel RSA kryptering/dekryptering 1.Givet meddelande M = 88 (nb. 88<187) 2.Kryptering: C = 88 7 mod 187 = 11 3.Dekryptering: M = 11 23 mod 187 = 88
Skydd av algoritmer och nycklar Algoritmerna som används inom IKT-säkerhet ska anses som öppna Initialt så försökte dessa hemlighållas men information läckte ofta ut Nycklarna är nyckeln till säkerhet Kräver god hantering och lägger ansvaret på systemadministrationen och användare
Konklusion Val av lämplig algoritm och hantering av nycklar är avgörande Tid för hur länge något ska vara säkert är också viktigt att ta hänsyn till
Vad bör skyddas Individer, organisationer & samhällsinfrastrukturer (etc.) genom att skydda Data Applikationer IKT-infrastruktur Fysisk tillgänglighet av utrustning
Några typer av attacker Malware(sabotageprogram) Virus, maskar, trojansk häst, spionprogram, cross-site scripting (XSS), ransomware Nätfiske Att använda bakdörrar DDOS Vid åtkomst till en fysisk enhet kan ex. JTAG användas för att nå processor, minne och andra enheter för access till känslig information
Attacker nu och då, ett exempel I början av 90-talet (innan Internets spridning) skannades telefonnummer för att se om ett modem svarade, varpå försök till intrång skedde idag används portskanning på olika IP adresser för att detektera protokoll och tjänster (ex. med Nmap) samma typ av attack förekommer nu som då......så vad har vi lärt oss?
Cyber-fysiska system Teknologitrender IKT som agerar i fysiska objekt Sakernas Internet Ett Internet uppkopplat cyber-fysiskt system Öppen data Fritt tillgänglig data utan inskränkning Molnplattformar <x>-as as service
Teknologitrendernas innebörd Många fler Internetuppkopplade enheter Internetuppkopplade enheter med begränsad beräknings-, lagrings-, och energi-kapacitet Enkelhet i användande och uppkoppling Ökade mängder av data
Teknologitrendernas innebörd Gartner spådde (i oktober 2014) att 50% av IoT systemen under 2017 skapas av nyetablerade företag yngre än 3 år, korrekt? Utvecklare som adresserar kärnområdet fokuserar oftast på funktionen och inte säkerheten i första hand medan säkerhetsexperten adresserar hur teknologin kan användas på annat vis, såsom åtkomst till andra system Fler system = mer att hacka
Kända attacker 2014, intrång i Webbdatorcentralens styrsystem för fastigheter Låg säkerhet vid inloggning Remote kontroll av exempelvis värme, låssystem, brandlarm med mera Motverkan?
Kända attacker 2016 Dyn cyberattack, en DDOS attack mot DNS leverantören Dyns system. 1.2 Tbit/s Använde sakernas Internet infekterade med Mirai (Botnet attack) Motverkan?
Kända attacker 2016, Keen security lab hackar Tesla modeller Åtkomst till CAN-bussen Kunde kontrollera bilen på distans Motverkan?
Innovationsmöjlighet Hitta metoder för skalbar och säker hantering av massiva mängder uppkopplade enheter och motverkan av attacker Börjar bli svårt att i förhand vara medveten om bitmönster i Malware och hot i trafikmönster som möjliggör detektering pga av mutering Lösning, detektera avvikelser? Öka medvetenheten om IKT säkerhet
Så vad krävs Metoder som kan identifiera normal aktivitet i access av data, bearbetning, lagring och kommunikation Genom maskininlärning (ex. reinforcement lerning, unsupervised learning) Avvikelserapportering/åtgärd vid avvikelsedetektering
Så vad krävs Säker hantering av IoT enheter Innovationer för hur dessa ska underhållas över tid, sett till uppgraderingar av programvaror, upptäckande av komponenter som kräver översyn och bli medveten som tillstånd i komplexa IoT installationer där systemfunktionaliteten fallerar på något sätt
Så vad krävs Säkerhetsmekanismer som är hanterbar i resursbegränsade IoT-enheter Den fundamentala grunden för säkerhetssystem är metoder för autentisering samt kryptografiska algoritmer och metoder. Området utvecklas ständigt och nya principer och anpassningar till systemkrav måste till, för att man skall kunna uppnå en hög säkerhet både på IoT-enheter och systemen som hanterar IoT enheter
Så vad krävs Identitet-stärkt kontroll över dataaccess Då vi delger en ökad mängd information för olika syften, ökar behovet av att kontrollera vem och vilka som ska kunna konsumera data Autentiseringen för åtkomst till kritiska system behöver säkerställda/nya metoder
Datatransformation Så vad krävs Data som produceras av IoT enheter kommer att kombineras på ett sätt som gör det svårt att överblicka vilken typ av information som kan utvinnas, detta gäller även datamängder som tillgängliggörs som öppen data vid offentlig verksamhet, nya metoder behövs
Övervakningssensorer
Biometriska sensorer
Sociala sensorer
Massor av data Vem har rätt till datan? Vem äger datan? Hur hamnade jag här? Kan jag ångra mig? 38
Personlig integritet
Flera källor för inhämtning och lagring Flera olika platser att lagra data på betyder fler sårbarheter Innebär ett ökad hot mot den personliga integriteten Oemotståndlig källa av information för myndigheter
Etik
Etik handlar om vad som är gott och ont, rätt och fel
Etik juridik Lagliga saker kan vara oetiska Etiskt försvarbara saker kan vara olagliga
Transparens Hur fattar algoritmerna beslut? Har inte vi rätt att veta det? 46
Etiska regler för en självkörande bil 1. Skada inte en människa 2. Skada inte egendom 3. Lyd din alltid förare 4. Följ trafikregler 5. Skydda dig själv 6.
Artificiell intelligens
Vad gör vi med AI Vård ställa diagnoser Känna igen ansikten Ge oss rätt reklam Roliga spel Finansiella tjänster och lån
Men Kan inte AI själv bestämma vilka etiska regler som gäller? Hur skulle vi kunna verifera det?
http://moralmachine.mit.edu
Bilder från http://moralmachine.mit.edu
Bilder från http://moralmachine.mit.edu
2017 - året då vi kommer att börja använda uppkopplade saker till att lösa viktiga samhällsutmaningar
lisa.kaati@it.uu.se christer.ahlund@ltu.se
Är digitaliseringen säker? Frågor? www.vinnova.se