I takt med den øgede anvendelse af IoT(Internet of Things)-enheder – såsom medicinsk udstyr, kameraer og sensorer – på tværs af industrier, brancher og organisationer, modtager Datatilsynet flere og flere anmeldelser af brud på persondatasikkerheden, der skyldes uautoriseret adgang til IoT-enheder eller systemer og/eller netværk, som IoT-enheder kan være adgangspunkt til.
IoT-enheder giver organisationer en række nye og smarte muligheder for at behandle personoplysninger, men på trods af f.eks. driftsfordelene, som enhederne giver, skal man ikke overse de faldgruber ved enhederne, som f.eks. cyberkriminelle kan udnytte til at få adgang til persondata. Organisationer, der bruger IoT-enheder, skal derfor sikre sig, at de forstår de risici, som brugen af enhederne medfører, og hvad de kan gøre for at afhjælpe eventuelle sårbarheder ved enhederne, så personoplysninger beskyttes. Med andre ord skal man – som med al anden behandling af personoplysninger – sørge for at etablere passende sikkerhedsforanstaltninger. Det kunne f.eks. være, at:
- Sørge for, at alle default passwords er blevet opdateret til stærke, unikke passwords, og i øvrigt implementere multi-faktorautentifikation (MFA).
- Jævnligt opdatere firmware og software for at rette eventuelle sårbarheder.
- Opsætte IP-baserede adgangsrestriktioner og begrænse adgangen til bestemte brugere eller systemer.
- Isolere IoT-enheder på et separat netværk eller segment for at beskytte ”hovednetværket” eller andre enheder mod potentielle trusler.
- Sikre sig, at IoT-enheder understøtter sikre protokoller som HTTPS, SFTP og SSH for at kryptere data og beskytte dem mod uautoriseret adgang, idet mange IoT-enheder kan benytte mindre sikre netværksprotokoller som HTTP, FTP og Telnet, der sender data i klartekst.
- Bruge en netværksscanner/port-scanner for at kontrollere, om IoT-enheder har åbne porte, der kan udnyttes af f.eks. cyberkriminelle.
- Teste fjernadgangssikkerheden ved at forsøge at logge ind fra en ekstern enhed for at be- eller afkræfte, at IoT-enheden er korrekt beskytte og konfigureret.
Man kan i øvrigt finde flere gode råd og vejledning til beskyttelse af IoT-enheder på Styrelsen for Samfundsikkerheds – tidligere Center for Cybersikkerheds – hjemmeside her.