Utviklingen av nye IoT-baserte infrastrukturer i samfunnet – utfordringer for nasjonal sikkerhet (revidert rapport)

Bakgrunnen for denne studien er at man forventer en stor vekst i bruk av Internet of Things (IoT) i hele samfunnet, ikke minst i forbindelse med at 5G bygges ut. IoT vil i økende grad bli brukt til å underholde oss, gjøre hverdagen vår enklere, byer mer ressurseffektive, industri-bedrifter mer kostnadseffektive og til å gi oss bedre offentlige tjenester. Det kan også gi oss et bedre forsvar.

IoT er ofte komplekse systemer og omfatter som regel flere ulike teknologier som trådløs kommunikasjon, skytjenester, stordata og kunstig intelligens. Med økt bruk av IoT vil vi få helt nye infrastrukturer, infrastrukturene som allerede finnes vil få nye egenskaper, og det vil være vanskelig å vite hvilke infrastrukturer som er kritiske.

Økt bruk av IoT vil gi mange fordeler, men det vil også utfordre nasjonale sikkerhetsinteresser. Vi har gjennom arbeidet med denne rapporten identifisert tre grunnleggende utfordringer. Disse har vi kalt økt innsamling av data, større angrepsflate og mer komplekse infrastrukturer.

IoT-systemene samler ofte inn detaljerte data fra deres brukere og/eller miljø, og disse dataene havner ofte i utlandet. Tester vi har utført på noen tilfeldige IoT-produkter rettet mot forbruker-markedet bekrefter dette. Det er vanskelig å beskytte seg mot denne datainnsamlingen, og det er en opplagt utfordring både når det gjelder etterretningstrusselen og personvern.

Siden IoT-systemene omfatter flere ulike teknologier og komponenter, som kan ligge i ulike geografiske områder, vil disse systemene ha en stor angrepsflate. Dette gir økt sårbarhet mot både konfidensialitets-, integritets- og tilgjengelighetsangrep.

Disse IoT-systemene vil inngå i infrastrukturer som vil være svært komplekse. Kompleksiteten er blant annet knyttet til at disse infrastrukturene ofte er svært dynamiske og at de innehar mange interne og eksterne avhengigheter. Dette vil gi en stor sårbarhet og er den største utfordringen vi ser med økt bruk av IoT.

Utviklingen vi ser her er drevet av globale kommersielle interesser det er vanskelig å begrense eller styre. For å kunne møte utfordringene økt bruk av IoT medfører, mener vi det er to områder som peker seg ut som spesielt viktig. Det første er å utvikle metoder for å kunne vurdere risiko av komplekse infrastrukturer. Hendelseshåndtering og vurdering av ulike forebyggende tiltak knyttet til kritiske infrastrukturer og nasjonal sikkerhet krever et oppdatert og helhetlig risikobilde. Et slikt bilde må evne å innlemme kompleksiteten og beskrive den usikkerheten som opplagt er tilstede. I dag mangler man tilstrekkelig kunnskap og metoder for å utvikle dette. Det andre området vi ser at er viktig omhandler kontinuerlig kunnskapsutvikling og -forvaltning, og dette innenfor mange fagfelt. Her vil det være helt essensielt med en metode for å kunne sette denne kunnskapen i system.