Tingenes internett

Tingenes internett, («Internet of Things» – IoT), kan karakteriseres som «en global infrastruktur for informasjonssamfunnet som muliggjør avanserte tjenester via sammenkoblede ting basert på eksisterende og nye informasjons- og kommunikasjonsteknologier (IKT)» (Sellevåg et al., 2020, s. 39). Enkelt sagt refererer IoT til fysiske ting som er koblet til internett, hvor tingene kan være alt fra lyspærer til industriroboter.

IoT-baserte tjenester benyttes allerede og det forventes stor vekst i IoT i tiden frem mot 2030.

Sammen med utbyggingen av 5G (neste generasjons mobilnett) og bruk av kunstig intelligens, vil IoT i økende grad bli brukt til å underholde oss, gjøre hverdagen enklere (smarthjem), gjøre byer mer ressurseffektive (smartbyer), gjøre industribedrifter mer kostnadseffektive («Industri 4.0»), øke forsvarsevnen, samt til å gi oss bedre offentlige tjenester som for eksempel helsetje-nester (e-helse) (Sellevåg et al., 2020, s. 31, 39-42).I fremtidens «smartsamfunn» kan hva som helst kommunisere når som helst og hvor som helst via internett. Dette kan gi helt nye krimina-litets- og sikkerhetsutfordringer for politi- og påtaletjenestene.

FFI har nylig vurdert hvordan utviklingen av nye IoT-baserte tjenester kan påvirke nasjonal sik-kerhet (Farsund et al., 2020). I det følgende gis en kortfattet oppsummering av funnene fra dette arbeidet med fokus på hvordan utviklingen innen IoT negativt kan påvirke politi- og påtaletje-nestene.

Et IoT-system består gjerne av sensorer (kameraer, temperaturmålere etc.), aktuatorer (døråp-nere, brytere etc.), lokal styringsenhet, brukergrensesnitt og skytjenester knyttet til systemets funksjonalitet (se Figur 4.14). Sårbarhetene til IoT-systemet, det vil si faktorer som truer konfi-densialiteten, integriteten og tilgjengeligheten til systemet og informasjonen som systemet be-handler, er ikke bare avgrenset til komponentene i IoT-systemet, men de er også knyttet til av-hengighetene som IoT-systemet har til andre systemer og infrastrukturer (Farsund et al., 2020, s.

19-23). FFI har derfor pekt på følgende tre grunnleggende utfordringer knyttet til økt bruk av IoT: (i) økt innsamling av data, (ii) større angrepsflate og (iii) mer komplekse infrastrukturer (Figur 4.15) (Farsund et al., 2020, s. 44). I det følgende vil disse utfordringene diskuteres nær-mere.

FFI-RAPPORT 21/01132 51

AI

AI

Sentralt grensesnitt/

server

Lokal styringsenhet/hub

Brukergrensesnitt

Sensor Aktuator

Sensor Sensor Aktuator

Figur 4.14 Eksempel på komponenter i et IoT-system (Farsund et al., 2020, s. 11).

Økt bruk av IoT

Økt innsamling av data Mer komplekse infrastrukturer

Eksponering av informasjon om nasjonale sikkerhetsinteresser,

samfunnsfunksjoner, virksomheter og individer

Økte muligheter for påvirkning av beslutningsprosesser, opinion

og sosial adferd

Norges sikkerhet Større angrepsflate

Økte muligheter for angrep mot samfunnsfunksjoner Medfører

Kan medføre

Som igjen kan true

Figur 4.15 Mulige sikkerhetsutfordringer økt bruk av tingenes internett (IoT) kan medføre (etter Farsund et al., 2020).

52 FFI-RAPPORT 21/01132

Med økt bruk av IoT i samfunnet, vil mengden av data som samles inn om brukerne av IoT-sys-temet og om miljøet som IoT-sysIoT-sys-temet befinner seg i, øke betraktelig. Eksempelvis utstyres svært mange ting med kamera og/eller GPS. Datainnsamlingen kan i mange tilfeller være skjult for brukeren og en del av verdikjeden for en IoT-basert virksomhet kan være å selge dataene vi-dere til såkalte dataforhandlere. Slike dataforhandlere kan aggregere data fra ulike kilder for deretter å berike, rense og/eller analysere dataene slik at de kan lisensieres videre til andre virk-somheter (jf. kapittel 4.1.2; se også Farsund et al. (2020, s. 27-28)).

Økt innsamling av data kan medføre økt fare for eksponering av sensitiv informasjon om nasjo-nale sikkerhetsinteresser, samfunnsfunksjoner, virksomheter og individer. Denne informasjonen kan deretter utnyttes av ulike typer trusselaktører til å begå lovbrudd, gjennomføre påvirknings-operasjoner eller angrep mot samfunnsfunksjoner, som igjen kan true Norges sikkerhet (Farsund et al., 2020, s. 44-45).

En annen sikkerhetsutfordring knyttet til økt bruk av IoT, er at gjenstandene våre får større av-hengigheter til andre systemer. Som vist i Figur 4.14, består et IoT-system av en rekke kompo-nenter som kan ha avhengigheter til andre systemer. Dette gjør det mulig å angripe et IoT-sys-tem via andre sysIoT-sys-temer som IoT-sysIoT-sys-temet er avhengig av, og som nødvendigvis ikke er kjent for brukeren eller eieren av IoT-systemet. Selv om IoT-systemet i seg selv fremstår som sikkert, kan det likevel ha sårbarheter som kan utnyttes fordi det kan være avhengig av andre systemer som har lavere sikkerhetsnivå. Gjennom å koble fysiske gjenstander til internett og gjøre dem

«smartere», vil derfor IoT-systemene ha en stor angrepsflate som kan utnyttes (Farsund et al., 2020, s. 45).

Den tredje utfordringen er knyttet til økende kompleksitet. Ettersom IoT-systemer kan bruke flere andre komplekse infrastrukturer som 5G, internett og skytjenester, vil IoT-systemer inngå i dynamiske og svært komplekse digitale verdikjeder (Farsund et al., 2020, s. 45). I praksis vil det være svært krevende, nærmest umulig, å ha oversikt over alle avhengighetene i verdikjedene, inkludert hvilke aktører som inngår som tjenestetilbydere eller underleverandører. Den økende kompleksiteten vil derfor gjøre det svært utfordrende å gjennomføre risiko- og sårbarhetsvurde-ringer av IoT-systemer. I tillegg vil datanettverksangrep mot IoT-systemer kunne få større kon-sekvenser i det fysiske rom etter hvert som flere aktuatorer kobles til systemene, og dermed til internett (Farsund et al., 2020, s. 46).

Dersom tilstrekkelige sårbarhetsreduserende tiltak ikke iverksettes, er det grunn til å forvente økt risiko for cyberterrorisme hvor en ikke-statlig aktør søker å begå terrorhandlinger som får effekt i det fysiske rom, gjennom datanettverksangrep mot IoT-systemer. Vi må også forvente at kriminelle vil utnytte sårbarheter i IoT-systemer for å oppnå økonomisk vinning, eksempelvis gjennom krav om å utbetale løsepenger for å få tilgang til tjenesten igjen. Videre er det grunn til å frykte at IoT kan misbrukes til å begå seksuelle overgrep over internett. Til slutt er det også grunn til å forvente at IoT vil medføre økt risiko for at fremmede stater kan innhente store mengder informasjon som kan utnyttes til etterretning, påvirkning og/eller gjennomføring av angrep mot identifiserte mål.

FFI-RAPPORT 21/01132 53 4.5.6 Autonome systemer og droneteknologi

Utvikling innen robotikk og autonome systemer vil fortsette å gi samfunnet nye og endrede tje-nester i tiden frem mot 2030 (Sellevåg et al., 2020, s. 42-44). Trusler som følge av økt bruk av autonome systemer kan deles inn i to (ikke gjensidig utelukkende) kategorier: (i) bruk av auto-nome systemer til tilsiktede uønskede handlinger; (ii) tilsiktede uønskede angrep mot autoauto-nome systemer som benyttes i samfunnet.

Når det gjelder førstnevnte kategori, er droner av spesiell bekymring på grunn av deres mulighet til å omgå eksisterende fysiske beskyttelsestiltak (Sellevåg et al., 2017). Bruk av droner repre-senterer derfor en rekke utfordringer for samfunnssikkerheten og nasjonale sikkerhetsinteresser.

Generelt kan disse utfordringene knyttes til: (i) bruk av droner for informasjonsinnhenting, (ii) bruk av droner til påvirkning (for eksempel ved å filme et pågående terrorangrep), (iii) bruk av droner som angrepsvåpen, og (iv) bruk av droner for transport av ulovlige varer. Nasjonalt har sikkerhetsmyndigheter registrert flere tilfeller av uautorisert droneaktivitet i nærheten av mili-tære øvelser eller områder med fotoforbud (Nasjonal sikkerhetsmyndighet, 2020c). Økt datainn-samling fra dronebårne sensorer kan direkte eller indirekte utnyttes av fremmede staters etterret-ningstjenester. Internasjonalt har man blant annet sett at terrororganisasjonen IS har benyttet droner til informasjonsinnhenting, som propagandaverktøy gjennom å filme terrorangrep, og som plattform for levering av luftbårne improviserte eksplosivladninger (jf. kapittel 5.2.4; se også: Rassler (2016); Tønnessen (2017)). Man har også sett eksempler på bruk av droner for smugling av narkotika og andre ulovlige varer (Turkmen & Kuloglu, 2018).

Droneteknologien har utviklet seg svært raskt. Det forventes at dette vil fortsette etter hvert som flere produsenter og leverandører kommer på markedet. Generelt sett går teknologiutviklingen i retning av miniatyrisering; ytelsen til «gårsdagens» droner er nå tilgjengelig i en mye mindre innpakking. Et annet utviklingstrekk er at droner vil få høyere grad av autonomi, altså at de i større grad vil bli gitt mulighet til å ta egne beslutninger og fravike planen som er bestemt av operatøren. Dette kan for eksempel være knyttet til å omgå hindre basert på sceneanalyse. Vi-dere finnes det allerede droner som kan følge objekter i bevegelse («object tracking»), og det er grunn til å forvente at denne teknologien vil utvides til også å inkludere ansiktsgjenkjenning i nær fremtid. En annen utvikling som forventes er evne til å navigere i omgivelser hvor GPS ikke er til stede. Sammen med teknologier for å unngå hindre, vil dette gi mulighet til naviga-sjon både utendørs og innendørs. Til slutt forventes det betydelige fremskritt innen såkalt

«svermteknologi» hvor komplekse operasjoner gjennomføres ved at flere droner samarbeider (se for eksempel Engebråten et al. (2018)).

Når det gjelder tilsiktede uønskede angrep mot autonome systemer som benyttes i samfunnet, vil dette medføre mange av de samme sikkerhetsutfordringene som for IoT (jf. kapittel 4.5.3).

FFI har nylig vurdert kryptografiske løsninger og digital sikkerhet i autonome systemer og for noen utvalgte eksisterende dronetyper. I studien ble en rekke sårbarheter og mangelfulle sikker-hetsløsninger i sivile droner for fritids- og kommersielt bruk avdekket (Wiik, 2020). Arbeidet med å implementere hensiktsmessige sikkerhetskrav og -løsninger for autonome systemer må derfor fortsette.

54 FFI-RAPPORT 21/01132