Smarte produkter og sikkerhet:

Advarer mot smarte produkter:
- Meget dårlig sikkerhet

Tre av fire frykter for sikkerheten og personvernet. Nå ønsker Forbrukerrådet at det skal stilles krav til IKT-sikkerhet for produkter som er koblet på nett.

DÅRLIG SIKKERHET: Forbrukerrådet mener sikkerheten i en rekke smart produkter er for dårlig, noe sikkerhetseksper Chris Dale er enig i. Foto: NTB Scanpix
DÅRLIG SIKKERHET: Forbrukerrådet mener sikkerheten i en rekke smart produkter er for dårlig, noe sikkerhetseksper Chris Dale er enig i. Foto: NTB Scanpix Vis mer

Samtidig som stadig flere produkter kobles på nett og kommuniserer med hverandre, påpeker Forbrukerrådet at det finnes et utall av eksempler på produkter med sikkerhetshull som åpner for målrettede hackerangrep, svindel og identitetstyveri.

Samtidig viser en spørreundersøkelse Forbrukerrådet har gjennomført at tre av fire frykter at grunnleggende sikkerhet og personvern ikke blir ivaretatt.

Nå etterspør Forbrukerrådet strengere sikkerhetskrav for smarte og oppkoblede produkter.

Mange eksempler på hackede produkter

For å illustrere problemet viser Forbrukerrådet til en rekke eksempler på produkter som er blitt hacket i inn- og utland de siste årene.

Her finner vi alt fra en TV og et sex-leketøy til leker, dørlåser og GPS-klokker for barn. Dinside har blant annet skrevet om dukken Cayla, hacking av smarthjem tidligere, og en rekke artikler om problemer med GPS-klokker for barn.

Men har man grunn til å bekymre seg for sikkerheten og eget personvern ved bruk av digitalt oppkoblede produkter, slik mange nordmenn ifølge den tidligere nevnte spørreundersøkelsen gjør?

Ja, mener Chris Dale, leder for penetrasjonstesting og hendelseshåndtering i Netsecurity og blant annet mannen bak hackingen av «Norges sikreste hjem» for noen år tilbake.

- Hva er din erfaring med sikkerheten til tilkoblede produkter?

- Det er meget dårlig sikkerhet. Jeg, og mange andre, beviser gang på gang at sikkerheten er kjempedårlig, sier Dale til Dinside.

Også Datatilsynet skrev i sin tilstandsrapport for 2018 at de dessverre ser alt for mange eksempler på at denne typen produktene ikke sikrer personopplysningene til brukerne på en god måte. Datatilsynet viser også til at en rapport fra Consumers International om markedet for smarte forbrukerprodukter konkluderer at i selskapenes iver for å få produktene sine ut på markedet har de nedprioritert sikkerhet og forbrukerbeskyttelse.

Lite sikkerhet i disse produktene

Når det gjelder produktgrupper, tror Dale at hjemmerutere og kontrollere for smartstyring av hus er mindre sikre enn andre produkter.

- Disse enhetene leveres ikke «trygge fra starten av», samtidig som de innholder mye kompleksitet som forbrukerne ofte må inn for å endre på, og da er det utrolig lett å utilsiktet legge inn sikkerheteshull, hevder Dale.

Han forteller at hans siste hack var av en kontroller for smarthjemstyring, der han fant store sårbarheter i «hjernen» som styrer resten av huset.

- Det tok cirka 5 minutter å avdekke sårbarheten og rundt 3 måneder for leverandøren å rette opp problemet, og videre tar det mange måneder, om ikke år - eller aldri - før forbrukerne installerer oppdateringen, sier Dale.

Vil ha strengere krav

Det er i forbindelse med en høring om IKT-sikkerhet som har høringsfrist neste uke at Forbrukerrådet i sitt høringssvar blant annet ønsker bindende minstekrav for IKT-sikkerhet i tilkoblede forbrukerprodukter.

«Eksempler på minstekrav kan være kryptering, verifikasjonsmekanismer, jevnlige sikkerhetsoppdateringer og lignende», skriver Forbrukerrådet i sitt høringssvar.

De mener dagens løsning med selvregulering og lite forpliktende tiltak, er utilstrekkelig.

- Vi håper nå regjeringen kjenner sin besøkelsestid og bidrar til at det kommer på plass regler som stiller tydelige krav til sikkerhet i tilkoblede produkter, sier Blyverket.

Må tenke sikkerhet først

Sikkerhetsekspert Dale er enig i at det burde være minstekrav til produktene.

- Utfordringen er hvordan de kravene skal se ut, samt ikke gjøre kravene så tungvinte eller kostbare at det hemmer innovasjon for mye, legger han til.

Dale understreker at dingsene bør ha som utgangspunkt at de kun skal lagre informasjon som er formålstjenlig, og at sikkerhet skal være en del av verdikjeden fra starten av.