ISO 27400:2022 "Cybersäkerhet – IoT-säkerhet och integritet"

Sedan mitten av juni 2022 har ISO (International Organization for Standardization), en världsomspännande sammanslutning av nationella standardiseringsorgan (ISO-medlemsorganisationer), publicerat sin senaste utarbetande av en internationellt giltig standard för skydd av IOT-enheter med avseende på säkerhet och dataskydd.

ISO 27400: 2022 - En förväntad djup standard för holistisk IoT-säkerhet

Omfattningen av den nya ISO-standarden omfattar tekniska och organisatoriska åtgärder i form av riktlinjer för risker, principer och kontroller för säkerhet och dataskydd av lösningar för Internet of Things (IoT).

Enligt den tekniska expertpanelen, "[är] informationssäkerhet [...] ett stort problem med alla system för informations- och kommunikationsteknik (IKT) och system för sakernas internet (IoT) är inget undantag. IoT-system utgör en särskild utmaning för informationssäkerheten eftersom de är mycket distribuerade och innehåller ett stort antal olika enheter. Detta resulterar i en mycket stor attackyta och en stor utmaning för Information Security Management System (ISMS) att tillämpa och upprätthålla lämpliga säkerhetskontroller i hela systemet.
Skyddet av integritet eller personuppgifter är en viktig fråga i vissa typer av IoT-system. När ett IoT-system samlar in eller använder personuppgifter finns det vanligtvis lagar och förordningar som gäller för insamling, lagring och behandling av personuppgifter. Även om reglerna inte spelar någon roll, är hantering av PII via ett IoT-system fortfarande ett rykte och förtroendeproblem för de berörda organisationerna, till exempel när PII stjäls eller missbrukas och kan orsaka någon form av skada för de individer som identifieras av informationen.
Säkerhets- och sekretesskontrollerna i det här dokumentet är utformade för intressenter i en IoT-systemmiljö så att de kan användas av alla IoT-deltagare under IoT-systemets hela livscykel."

Strukturen för den nya ISO 27400:2022

Som förväntat är den nya, 42-sidiga ISO-standarden uppdelad i de välkända standardkapitel som krävs enligt bilaga SL plus 4 djupgående avsnitt. Dessa är indelade i följande huvudämnen:

5 IoT-begrepp
5.1 Allmänt
5.2 Egenskaper hos IoT-system
5.3 Intressenter av IoT-system
5.4 IoT-ekosystem
5.5 IoT-tjänstens livscykler
5.6 Domänbaserad referensmodell
6 Riskkällor för IoT-system
6.1 Allmänt
6.3 Riskkällor
7 Säkerhets- och sekretesskontroller
7.1 Säkerhetskontroller
7.2 Sekretesskontroller

Definition: Vad är Internet of Things och vilka enheter tillhör det?

Det finns ingen formell definition av Internet of Things, eftersom termen innehåller ett brett spektrum av användningsområden som kan räknas som en del av den grundläggande idén om IoT via funktion eller form av anslutning. I de flesta fall beskriver IoT dock ett nätverk för maskinkommunikation. Termen ska särskiljas från det konventionella Internet (Social Internet), där människor främst kommunicerar med andra människor eller maskiner (t.ex. servrar). Sakernas internet i sitt nuvarande expansionsstadium har endast möjliggjorts av tekniska framsteg under de senaste två decennierna och utvecklas för närvarande till kvasi-standard för nya teknikplattformar.

Sakernas internet i den privata sektorn

IoT-enheter, som är tillgängliga för alla, är främst avsedda att göra vardagen enklare. För detta ändamål är Internetaktiverade enheter eller applikationer kopplade till varandra och därmed kontrollerbara. Dessa kan till exempel vara alla komponenter i ett smart hem. Internet of Things tillåter användare att få ett meddelande när vissa händelser inträffar, till exempel när rumstemperaturen sjunker under ett visst värde eller den elektriska tandborsten används med för mycket tryck. Men de intelligenta sensorerna i IoT kan också självständigt se till att till exempel en rulljalusi automatiskt mörknar fönstret – utan att människor själva behöver ingripa.

Begreppen Smart City och Smart Environment faller också i samband med IoT. De inkluderar skapandet och användningen av en IoT för att optimera sin egen miljö, en hel stad eller region.

Industriellt sakernas internet (IIoT)

Dessutom kan Industrial Internet of Things särskiljas från den privata IoT. Här är enskilda maskiner eller hela system nätverkade med varandra.  Detta är avsett att öka effektiviteten:

  • Kommunikation/informationsutbyte mellan maskiner, fordon, containrar, varuautomater (M2M)
  • Hög grad av automatisering
  • Optimering av processer
  • Tidig problemdetektering (självdiagnos)
  • Undvikande av misslyckanden
  • Resursbesparande produktion

Den grundläggande byggstenen för denna nya grad av teknik var radiofrekvensidentifiering (förkortat RFID). Det gjorde det möjligt för en mottagarenhet med kontaktlös överföring att identifiera och lokalisera sändaren. (Källa: Sakernas internet: Definition, tillämpning, risker (link11.com))

IIoT likställs ofta med termen Industri 4.0, men detta är inte korrekt. Bakom detta ligger ett digitaliseringsprojekt som bara kommer att kunna genomföras fullt ut i framtiden. Förutsättningarna för denna fjärde industriella revolution inkluderar sakernas internet, molntjänster och artificiell intelligens (AI).

Skydda privilegierade konton (PAM) för att skydda IoT-teknik

Privilegierade användarkonton, lösenord och hemligheter finns överallt: enligt uppskattningar är deras antal vanligtvis tre till fyra gånger så högt som för anställda. Speciellt med modern teknik som förlitar sig på att allt är anslutet och tillgängligt var som helst, ökar attackytan snabbt eftersom system, applikationer, maskin-till-maskin-konton, moln- och hybridmiljöer, DevOps, robotprocessautomatisering och IoT-enheter ger mer och mer administrativ åtkomst. Angripare vet detta och riktar därför in sig på exakt dessa privilegierade konton. Över 95 % av alla komplexa attacker förlitar sig på utnyttjande av privilegierade autentiseringsuppgifter, eftersom de ger åtkomst till mycket känsliga data, program och infrastruktur. I fel händer kan sådana privilegier väsentligt störa ett företags affärsverksamhet.

VISULOX är en PAM-lösning utvecklad i Tyskland för att skydda privilegierade konton

VISULOX Privileged Access Management är den centrala åtkomstkomponenten mellan användaren och hans uppgifter. På detta sätt är det möjligt att dokumentera vem som har tillgång till vilken applikation och när och vem som godkände den och när. VISULOX Privileged Access Management används också för att presentera ett program och dokumenteras också. Detta ger dig kontroll och en överblick över alla aktiviteter i systemet. Och allt detta utan ändringar i klienten eller servern, under drift.

Styra  Du får central åtkomst till alla privilegierade användare till interna IT- och OT-system

Harmonisera  Du har heterogena åtkomstkrav enligt organisationens krav

Lämna  Du kan komma åt revisionssäkra register över varje aktivitet inom IT och OT när som helst, var som helst

VISULOX har utvecklats av amitego i Tyskland sedan 2003 och används över hela världen av små till medelstora, upp till DAX30-företag, inom alla branscher.

Vi har ännu fler ämnen som vi gillar att skriva om.

Så här skyddar du data från utflöde

Så här skyddar du data från utflöde

Vill du själv styra överföringen av data och information mellan IT-system? Med VISULOX enligt informationsklassificeringar för att skydda mot dataläckage.

Cookie-samtycke med riktig cookie-banner