Så sårbart är ditt smarta hem – och här är de största riskerna

År 1999 myntade den brittiska it-forskaren Kevin Ashton uttrycket Internet of Things (sakernas internet, eller IoT) för att beskriva den teknik som inte bara kopplar upp människor, utan även prylarna som vi omger oss med i vår vardag.

 

Sedan dess har tillväxten varit närmast exceptionell. De smarta sakerna behöver kunna kommunicera via internet, och med varandra, via fasta och trådlösa nätverk. Det i sin tur kräver it-standarder som förvaltas av organisationer med medlemmar som exempelvis it-giganterna Google, Samsung Apple, Amazon och Xiaomi.

 

Det finns idag, enligt analytiker på företaget Statista, över 600 olika teknikplattformar det gäller uppkopplade saker som faller under kategorierna IoT och smarta hem-teknik.

 

Användardata sprids

Som så ofta när utvecklingen går fort är det svårt för konsumenter, och ibland även för experter, att se vilka problem som kan segla upp på horisonten. Fördelarna med smart hem-tekniken är förhoppningsvis omedelbara. Medan nackdelarna kan visa sig på lite längre sikt.

 

Att såväl mindre som jättestora tech-företag samlar in användardata från de konsumentprylar vi köper är förmodligen ingen nyhet för någon.

 

– De använder så klart dataanalys för att bättre rikta sina egna tjänster mot konsumenter, men man behöver vara medveten om vad deras affärsmodell och intäktskälla i slutändan är. Vissa av tillverkarna är amerikanska, vilket gör att data de samlar in är tillgänglig för amerikanska myndigheter. Det kan vara ett problem för personer som jobbar i vissa funktioner i offentlig sektor, eller för personer som har fritidsintressen som inte för närvarande är populära i USA, till exempel att man är medlem i en muslimsk förening, eller att ens förälder har varit kommunist, eller dylikt, säger Amelia Andersdotter, som driver sajten Dataskydd.net, och är f.d EU-parlamentariker för Piratpartiet.

Idag är till synes oskyldiga tjänster, som exempelvis app-styrd belysning, centraliserade i molnet och väldigt få användare vet var, hur och under vilken jurisdiktion, deras personliga information lagras.

 

– Jurisdiktionsproblemet är ett problem för individuell förutsägbarhet. Till exempel: kan jag personligen hamna på en no-fly-lista? Men det är också ett nationellt säkerhetsproblem. Om stater utanför EU kan ta reda på väldigt mycket om befolkningen och, till exempel, påverka befolkningens konsumtionsmönster genom reklam, kan det användas för att förstärka eller försvaga vissa aktörer, och med det ekonomin, och därmed stabiliteten i regionen, förklarar Amelia Andersdotter.

 

Hon fortsätter:

 

– EU-länder försöker så klart också bedriva den här sortens övervakning både mot varandra och mot tredjeländer, men de är för små och har för få resurser för att göra det effektivt.

 

Befintligt regelverk

Regler om dataskydd finns egentligen redan, både vad gäller inbyggda dataskyddsfunktioner i apparater och dataskyddsregler mer allmänt. Många har säkert kommit i kontakt med dataskyddsdirektivet GDPR, men hur det fungerar i praktiken, är en stötesten.

 

– Det är i implementeringen som det saknas expertis och koordinering. Både EU och Sverige lägger för mycket energi på att skapa nya myndigheter, regler och agenturer och för lite tid på att stärka koordineringen bland de aktörer som redan finns. Politiker undviker de stora moraliska frågorna kring vem som ska hållas säker från vad och hur genom att försöka hänvisa till privat sektor, men privata företag måste ju följa även motstridig lagstiftning, säger Amelia Andersdotter som även arbetar som chef för strategiska initiativ på Centr i Bryssel, en paraplyorganisation för de europeiska ländernas toppdomäner (.se, .fr, .de, och så vidare).

 

Lagar ligger efter

När teknikskiften träder i full kraft är uppfinningsrikedomen inom it-branschen på högvarv, medan lagstiftningen för det mesta hamnar på efterkälken. Något slags EU-märkning på att prylarna inte läcker för mycket information kanske kan vara en väg att gå.

 

Vi pratar med Magnus Almgren, docent i data- och informationsteknik på Chalmers tekniska högskola i Göteborg och aktiv inom föreningen IoT Sverige.

 

– Jag vet inte om lagstiftning är rätt väg, det är en intressant fråga. Problemet kan ju då fortfarande vara att regelverken ligger steget efter och det med nya prylar blir det svårt att anpassa. Men man kanske kan ha något bredare och teknikneutralt. Detta är viktiga saker att diskutera bland beslutsfattare, konsumentgrupper och företag.

 

Enligt honom ser marknadskrafter gärna att prylen är så billig som möjligt.

 

– Men det betyder att hårdvaran inte kan stödja nya viktiga metoder för säkerhet. Hur länge ska ett företag uppdatera programvaran? Vad händer efter två år när den inte längre stöds men fortfarande används med säkerhetshål? 

 

Att program eller hårdvara kommunicerar med omvärlden via nätet, oftast tillverkarens eller tjänsteleverantörens centrala system, kallas på it-säkerhetsspråk att de ”ringer hem”. Avslöjanden om att prylarna och apparna gör det, vanligen mot upphovsföretagets nekande, kommer regelbundet.
 

– Vi har undersökt säkerheten i Smarta Hem-saker och upptäckt att de ringer hem. Därför efterforskar vi möjligheterna att bara lagra information lokalt, men i alla fall kunna använda självlärande algoritmer samt dela information krypterat men ändå använda den för vissa syften, exempelvis uppkopplade saker. Det hela leder till intressanta frågor, till exempel: fungerar dataskyddslagen gdpr och behövs det fler certifieringar inom EU?, säger Magnus Almgren.

 

Ringer hem

Härförleden avslöjade tidningen Forbes att världsmarknadens tredje största tillverkare, kinesiska Xiaomi, skickade ”hem” användardata i större omfattning än vad som tidigare varit känt. Enligt David Jacoby, säkerhetsforskare på Kaspersky, är det ingenting ovanligt.

 

– Nästan alla apparater i den här kategorin ringer hem på något sätt, eftersom enheterna kollar efter säkerhetsuppdateringar, skickar tillbaka statistik, och så vidare. Det uppstår problem när prylarna skickar data som användaren inte godkänt. Ett stort problem är att vi konsumenter inte förstår att de flesta appar och digitala prylar vi använder faktiskt skickar data tillbaka till sin leverantör. 

 

Han exemplifierar med enheter som tar upp ljudupptagningar:

 

– Det är väldigt behändigt att kunna prata med sina enheter, men det är obehagligt att enheterna lyssnar på allt vi säger, menar David Jacoby, säkerhetsforskare på företaget Kaspersky.

 

Mediaspelare, diskmaskiner, luftkonditionering, uppvärmning, gräsklippare, dammsugare, lås, larm, belysning, kaffebryggare, kattlådor – det är verkligen ingen hejd på hur många olika sorters saker i våra hem som gått från att vara nedkopplade till att bli nätverkade. Ett snabbt växande segment är den så kallade e-hälsan.

 

Viktigt för vården

– Jag tror att utvecklingspotentialen är stor på många områden bortom larm och belysning. E-hälsa är ett sådant område, där IoT Sverige också är aktivt. Fördelarna torde vara kontinuerlig övervakning, en ökad trygghet för personen och kostnadsbesparingar för både vården och den enskilde, säger Magnus Almgren på Chalmers.
 

– Digitalisering samt transformation av vården är något som jag verkligen tror kan göra mycket stor nytta för många. I slutändan tror jag att vi med smarta hem kan kan rädda liv, säger David Jacoby på Kaspersky.

 

Förutom att höja livskvaliteten och verka förebyggande på olika sätt tar e-hälsan i hemmet frågeställningen om den personliga integriteten till sin spets.

 

– Just med e-hälsan är jag nog mindre orolig angående personlig integritet eftersom sjukvården i sig är van vid att hantera känslig information. Det är klart att det finns nya utmaningar, men det finns en förståelse, i motsats till hos konsumentmarknaden, att känsliga data behöver skyddas och det kan få kosta, menar Magnus Almgren på Chalmers.

 

För några år sedan fick David Jacoby rätt stora rubriker då han hackade sig in i sitt eget hemnätverk på hyggligt kort tid och tog kontrollen över de apparater som var anslutna till det.

 

– Jag skulle vilja påstå att det är lite svårare att göra samma sak idag. Det skrämmande är att jag tror att de sårbarheter som jag upptäckte då fortfarande finns kvar i många konsumentprodukter, säger han.

 

Stora säkerhetsbrister

– IT-säkerheten varierar väldigt kraftigt i det här segmentet och många av de enklare konsumentprodukterna har stora brister, som att de levereras med lösenord där en inte tvingas byta till nytt eller helt enkelt saknar möjlighet att byta lösenord. I många fall saknas möjlighet till säkerhetsuppdateringar. De flesta är helt enkelt konstruerade bara för att vara enkla för användaren men de är inte säkra.

 

Det säger Thomas Brühl, vd på Svenska Stöldskyddsföreningen och fortsätter:

 

– De flesta tänker nog inte ens på säkerhet när de köper smarta konsumentprodukter och byter kanske inte till ett starkt lösenord fast det är möjligt. Det faller inte många in att ett smart kylskåp eller glödlampa är en potentiell säkerhetsrisk. De lösenord som levereras med produkterna cirkulerar ofta på nätet. Många glömmer dessutom bort eller struntar i att uppgradera produkterna.

 

I takt med att konsumenterna och lagstiftande myndigheter ställer högre krav på de som tillverkar produkter och tillhandahåller tjänster inom smarta hem-området kommer sannolikt säkerheten att höjas generellt. Men det betyder inte att redan kända sårbarheter försvinner.

 

– Jag tror att legacy-produkter kommer vara ett stort problem framöver eftersom dessa uppkopplade enheter inte stöds längre och vi kommer ha otroligt många apparater uppkopplade som är sårbara. Det känns som att vi inte kommer att byta ut vår smart-tv eller uppkopplade kyl om den inte fysiskt går sönder. Vi kommer ha dessa saker mycket längre då många inte är slit-och-släng-produkter, konstaterar David Jacoby på Kaspersky.

 

Brott på distans

Den som är säkerhetsmedveten, och även kanske lite lätt paranoid, kan föreställa sig en mängd scenarier där sårbarheter i smarta hem ökar risken för att bli utsatt för brott på förhållandevis nya sätt. Detta är dock en realitet för de som utreder brott och lagför kriminella.  

 

– Eftersom allt är uppkopplat kan det också hackas, det vill säga, fjärrkontrolleras. Det kan handla om förberedelser till brott genom att övervaka bostaden via uppkopplade kameror och sensorer, stänga av larm av olika slag och liknade, säger Jan Olsson, kriminalkommissarie och verksamhetsutvecklare vid polisens nationella It-brottscentrum.

 

En annan variant är att stöldligor kör runt i områden med antennutrusning och program för nätverksövervakning för att på sätt avgöra i vilket hem som det finns flest stöldbegärliga it-produkter. Metoden kallas för drive-by-scanning.

 

– Detta är en klassisk teknik som ursprungligen användes av hackare som ville hitta på bus. Många uppkopplade enheter exponerar sig utåt via olika protokoll, allt från bluetooth till wifi. Det är därför viktigt att tillverkare av konsumentprodukter även inkluderar detta i sina säkerhetsrutiner. Det är väldigt lätt hänt att uppkopplade enheter inte skyddas från upptäckt på samma sätt som vanlig IT-utrustning, säger David Jacoby på Kaspersky.  

 

Även om själva förberedelserna i vissa fall kan vara straffbara kan de smarta tingens säkerhetsbrister innebära nya möjligheter att utföra brott på distans.

– Vi har redan sett hur kriminella tagit över webbkameror och filmat personer som gör saker de inte vill att andra ska få se, varpå utpressning sker, och den varianten kommer nog bara öka. Om den som gör intrång får kontroll över hela ditt hemnätverk kan denne skaffa sig all tillgänglig information om dig och kapa in identitet samt komma över alla dina lösenord till de nättjänster som du använder, säger Jan Olsson på Polisen.

 

Enskilda attackeras

Utöver detta förekommer det att även privatpersoner blir utsatta för de två formerna av it-hot som skapat flest rubriker de senaste åren: överbelastningsattacker och utpressningskod.

 

Det förstnämnda innebär att uppkopplingen kryper ned till snigelfart och du anmodas betala för att det ska bli normal fart i linan. Det sistnämnda gör att du inte kan använda din dator eller hela ditt nätverk om du inte betalar en lösensumma till de digitala kidnapparna för att få en kod som låser upp apparaterna.

 

– Ytterligare än aspekt är att om ditt nätverk blir angripet så kan utrustningen och uppkopplingen i sin tur användas till att begå brott mot andra genom att dina prylar utan din vetskap blir en del av ett så kallat botnet. Ett sådant nätverk av hackade prylar används ofta vid större attacker mot exempelvis banker, varnar Jan Olsson.

 

Många skaffar smarta hem-teknik för att öka säkerheten hemmavid, inte för att utsättas för fler risker. Och självklart kan de uppkopplade sakerna verka brottsförhindrande.

 

– Att skaffa en uppkopplad kamera för att se vem som ringer på dörren kan minska risken för rån och hemfridsbrott. Även om kameror kanske inte hindrar inbrott i sig, så finns det alltid digital dokumentation som kan hjälpa polisen i deras arbete, tipsar Thomas Brühl på Svenska stöldskyddsföreningen.

 

– Framsidan av myntet med digitaliserade hem är ju förstås möjligheten att identifiera de som gör inbrott samt möjligheten att få snabb hjälp vid fysiska attacker. Vidare kan du enklare få ett bättre skalskydd än tidigare, samt att detta är direktuppkopplat mot larmcentral så bevisning och signalement kan säkerställas i ett tidigt skede, säger Jan Olsson på Polisen.

 

Ökad sårbarhet

Det är allmänt känt att rättsvårdande myndigheter önskar förändring i lagstiftningen så att det ska bli lättare att spåra kriminella via nätet. Det visar om inte annat den gigantiska Encrochat-härvan som avslöjade ett stort antal brottslingars kommunikation på nätet både i Sverige och inom den Europeiska unionen. Men en sådan utveckling kan även innebära en ökad utsatthet för vanliga användare gentemot det it-kunniga buset.

 

– Det går kanske inte att samtidigt ge poliser och underrättelsetjänster möjligheter att enkelt hacka sig in i privatpersoners elektronik och samtidigt hålla elektroniken säker för otillåten avlyssning, otillbörliga reklam och kreditkortstjuvar, menar Amelia Andersdotter på Dataskydd.net.

 

Enligt den svenska tillverkaren Ericsson kommer antalet uppkopplade ting vara cirka 24,5 miljarder år 2025. Det kommer med andra ord finnas 250 procent fler prylar än människor som använder internet vid det laget. Det är extremt svårt att i förväg räkna ut vilka former av risker som alla upptänkliga tillämpningar av smarta hem-teknik kan innebära i framtiden.

 

– Mycket snart kommer vi att få problem med ai-teknik, till exempel så kallade deep fakes, där bedragare övertygande lyckas låtsas vara släktingar och vänner via videosamtal för att på så sätt lura till sig information och reda pengar, säger Jan Olsson, kriminalkommissarie och verksamhetsutvecklare vid polisens nationella It-brottscentrum.

 

Frågan är hur pass oroliga vi ska vara och om det finns fog för rädslan? Erfarenhetsmässigt lutar det åt att fördelarna med smarta hem överväger nackdelarna, främst för att det är så smidigt med uppkopplade prylar.

 

– Jag tror inte svenskarna behöver vara mer oroliga än någon annan, Internet är globalt och det innebär även att de hoten som finns på Internet är globala. Detta betyder inte alls att vi kan slappna av och leva i tron att vi inte är sårbara. smart hem-teknik är ett problem då de ofta har dåliga lösenord, gamla sårbarheter och är enheter vi oftast inte övervakar vilket gör att vi har svårare att både upptäcka intrång och skydda oss mot dom, avslutar David Jacoby säkerhetsforskare på Kaspersky.