Allt fler saker i vår omgivning blir uppkopplade och det gör att många funderar kring IoT och säkerhet. Det gör även Thomas Carnehult på Rise. Han leder ett projekt som skapar säkerhet för sensordata, hela vägen från sensorn till den plattform där data samlas. Det exempel projektet använder är de sensorer som håller koll på elskåpen i SOM-projektet. "Vi gör det så säkert man kan göra det idag", säger Thomas Carnehult på Rise.
Forskningsinstitutet Rise arbetar bland annat med datorsäkerhet, speciellt inom IoT. Sensorer är ofta små enheter med begränsningar i form av till exempel batteritid och datakraft, och därför vill man hålla nere både det som slukar batteri och beräkningar, vilket är till exempel kommunikation och säkerhet. Det är bland annat därför man inte kan använda den sorts säkerhet som används på internet utan det måste vara mycket mer anpassad lösning.
– Sensorer är små prylar som inte är kapabla till avancerade säkerhetsberäkningar, berättar Thomas Carnehult. Vi vill göra det säkert ändå.
Därför ansökte och fick Rise stöd av Vinnovas program kring datorsäkerhet och projektet syftar till att använda en av de nyaste standarderna för IoT-säkerhet.
– Vi fick höra talas om Future by Lunds SOM-projekt och insåg att det skulle passa perfekt för oss att använda. På så vis slipper vi bygga upp en egen infrastruktur.
Även SOM-projektledare Anders Trana och Johan Lindén på Mobile Heights såg fördelar med att koppla på ett säkerhetsprojekt. När sedan även Vinnova gav grönt ljus var det bara att köra igång.
I projektet samlas sensorvärden i elskåp i centrala Lund via en box som U-blox levererar. Elskåpen kommunicerar med varandra via Bluetooth Mesh och värdena samlas sedan och skickas via NB-IoT. Till sist hamnar datan på Sensatives plattform Yggio. Sensordatan passerar många steg på vägen.
Projektet startade med en hotanalys på den existerande infrastrukturen i SOM. Fokus lades på att se vilka protokoll som används, vad man vill skydda och hur det ska transporteras.
– Sensative och U-blox har säkerhet i sin hårdvara i var sin ände. Även i kommunikationen mellan varje nod är det säkerhet. Det är i noderna som passeras på vägen vi är osäkra på om säkerheten kan bibehållas. Det kan uppstå brister framförallt varje gång man byter protokoll, menar Thomas Carnehult.
Thomas förklarar med en allegori så att alla kan förstå:
– Tänk att du ska göra en resa med bil, tåg, tunnelbana och taxi. I varje transportslag är du rätt säker – i bilen har du säkerhetsbälte, tåget är säkert osv. Men när du byter transportslag kan du ju till exempel bli påkörd. Tänk om du då kunde kapsla in dig i frigolit och göra hela resan i samma frigolit. Då är du som objekt skyddad hela vägen. Precis så gör vi med sensordatan. Vi gör också så att skyddet låses i början av resan och låses upp på slutet. Men biljetten går hela tiden att läsa så att man kommer fram till rätt ställe.
Hela projektet har körts i labb parallellt med SOM-projektet. Efterhand som SOM blir färdigt kommer det att flyttas över till SOM-setupen.
– Det som är lite raffinerat med detta är att vårt arbete egentligen bara behövs när man packar datan och när man packat upp den igen, berättar Thomas Carnehult. Det är payloaden, lasten, som krypteras. De andra enheterna ser inte det.
I projektet har man tagit använt en ny standard som löser säkerheten hela vägen. Den nya standarden för IoT säkerhet heter RFC8613. Standarden blir ett exempel på en möjlig säkerhetslösning för andra IoT Sverige-projekt.
Rise arbetar också tillsammans med till exempel Ericsson i standardiseringsorganisationen IETF för att olika aktörer inom IoT ska arbeta med samma säkra standard så att man inte behöver byta säkerhetslösning på datans väg. Det är meningen att prylarna enkelt ska kunna prata med varandra utan att vara från samma leverantör.
Innebär projektet att den som skickar värden är helt säker på att ingen kommer åt dem?
– Jag skulle säga att värdena är väldigt säkra. Säkerhet är alltid en katt- och råttalek och där man hela tiden försöker göra systemen så säkra som möjligt.
Många är oroade för säkerheten inom IoT. Är det befogat att vara orolig?
– Jag tycker inte att det finns fog för oro men det finns fog för att göra det bättre hela tiden. Det gäller bland annat att olika legala frågor ska hänga med de tekniska lösningarna. Visst finns det saker som kopplas upp med bristande säkerhet men orolig håller jag inte med om att man ska vara. Det mesta funkar ändå. Det är lätt att bli orolig om man inte har tillräckligt med fakta. Det pågår mycket forskning och arbete hur man ska hantera allt data som genereras. Frågorna handlar om hur man skyddar data men också om vem som äger datan och vem som kan dela med sig och hur man i så fall gör det.
Projektet pågår till mars 2020 och stöttas av Vinnova.