Så mange hverdagsting i den udviklede verden er nu forbundet til internettet, ofte uforklarligt. Det tilføjer endnu et lag af potentiel teknologisk fiasko, som for personlige apparater kan være noget af en morsom irritation: persienner, der vil ikke åbne, mikrobølger at juster ikke for tidsændringer, køleskabe at har brug for firmwareopdateringer.
Men i virksomheden, når Internet of Things-enheder fejler, er det ingen Twitter-tråd-joke. Fabrikkens samlebånd går i stå. Pulsmålere på hospitaler skifter offline. Folkeskoles smarte tavler bliver mørke.
Fejl på smartenheder er en stigende risiko i virksomhedsverdenen, og ikke kun på grund af ofte omtalte sikkerhedsproblemer. Det skyldes, at nogle af disse enheders rodcertifikater - nødvendige for at de kan oprette forbindelse til internettet sikkert - udløber.
"Enheder skal vide, hvad de skal stole på, så rodcertifikatet er indbygget i enheden som et godkendelsesværktøj," forklarer Scott Helme, en sikkerhedsforsker, der har skrevet meget om problemet med rodcertifikatets udløb. "Når først enheden er i naturen, forsøger den at kalde 'hjem' - en API eller producentens server - og den tjekker mod dette rodcertifikat for at sige: 'Ja, jeg forbinder til denne korrekte sikre ting.' Grundlæggende er [et rodcertifikat] et tillidsanker, en referenceramme for enheden for at vide, hvad den taler til."
I praksis er denne autentificering som et net eller en kæde. Certifikatmyndigheder (CA'er) udsteder alle slags digitale certifikater, og enhederne "taler" med hinanden, nogle gange med flere niveauer. Men det første og mest centrale led i denne kæde er altid rodcertifikatet. Uden den kunne ingen af niveauerne ovenfor gøre forbindelserne mulige. Så hvis et rodcertifikat holder op med at virke, kan enheden ikke godkende forbindelsen og vil ikke forbinde til internettet.
Her er problemet: Konceptet med det krypterede web udviklede sig omkring 2000 - og rodcertifikater har en tendens til at være gyldige i omkring 20 til 25 år. I 2022 er vi altså midt i den udløbsperiode.
CA'erne har udstedt masser af nye rodcertifikater i de sidste to årtier, selvfølgelig et godt stykke før udløb. Det fungerer godt i den personlige enhedsverden, hvor de fleste mennesker ofte opgraderer til nye telefoner og klikker for at opdatere deres bærbare computere, så de ville have disse nyere certifikater. Men i virksomheden kan det være langt mere udfordrende eller endda umuligt at opdatere en enhed - og i sektorer som fremstilling kan maskiner faktisk stadig være på fabriksgulvet 20 til 25 år senere.
Uden en internetforbindelse er "disse enheder ikke noget værd," siger Kevin Bocek, vicepræsident for sikkerhedsstrategi og trusselsintelligens hos Venafi, udbyder af maskinidentitetsstyringstjenester. "De bliver i bund og grund klodser [når deres root-certifikater udløber]: De kan ikke stole på skyen længere, kan ikke tage kommandoer, kan ikke sende data, kan ikke tage softwareopdateringer. Det er en reel risiko, især hvis du er en producent eller en operatør af en eller anden art."
Et advarselsskud
Risikoen er ikke teoretisk. Den 30. september et rodcertifikat udstedt af den massive CA Lad os kryptere udløbet — og flere tjenester på tværs af internettet gik i stykker. Udløbet var ikke en overraskelse, da Let's Encrypt længe havde advaret sine kunder om at opdatere til et nyt certifikat.
Alligevel skrev Helme i en blogindlæg 10 dage før udløbet, "Jeg satser på, at et par ting sandsynligvis går i stykker den dag." Han havde ret. Nogle tjenester fra Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 og mange flere virksomheder mislykkedes.
"Og det mærkelige ved det," siger Helme til Dark Reading, "er, at de steder, der bruger Let's Encrypt, per definition er meget moderne - du kan ikke bare gå ind på deres hjemmeside og betale dine $10 og downloade dit certifikat i hånden. Det skal gøres af en maskine eller via deres API. Disse brugere var avancerede, og det var stadig et rigtig stort problem. Så hvad sker der, når vi ser [udløb] fra de mere ældre CA'er, der har disse store virksomhedskunder? Den afsmittende effekt vil helt sikkert være større."
Stien frem
Men med nogle ændringer behøver den afsmittende effekt ikke at ske, siger Venafis Bocek, der ser udfordringen som en udfordring med viden og kommandovej - så han ser løsninger i både bevidsthed og tidligt samarbejde.
"Jeg er virkelig begejstret, når jeg ser sikkerhedschefer og deres teams blive involveret på producent- og udviklerniveau," siger Bocek. "Spørgsmålet er ikke bare: 'Kan vi udvikle noget, der er sikkert?' men 'Kan vi fortsætte med at drive det?' Der er ofte et fælles ansvar for driften på disse højværdiforbundne enheder, så vi skal være klare over, hvordan vi skal håndtere det som virksomhed."
Lignende samtaler sker i infrastruktursektoren, siger Marty Edwards, vice-CTO for operationel teknologi og IoT hos Tenable. Han er en industriingeniør af fag, som har arbejdet med forsyningsselskaber og det amerikanske Department of Homeland Security.
"Helt ærligt, i det industrielle rum med forsyningsselskaber og fabrikker er enhver begivenhed, der fører til produktionsafbrydelse eller tab, bekymrende," siger Edwards. "Så i disse specialkredse ser ingeniørerne og udviklerne bestemt på virkningerne [af udløbende rodcertifikater], og hvordan vi kan rette dem."
Selvom Edwards understreger, at han er "optimistisk" omkring disse samtaler og presset på cybersikkerhedsovervejelser under indkøbsprocessen, mener han, at der også er behov for mere lovgivningsmæssigt tilsyn.
"Noget i retning af en grundlæggende plejestandard, der måske inkluderer sprog om, hvordan man opretholder integriteten af et certifikatsystem," siger Edwards. "Der har været diskussioner mellem forskellige standardgrupper og regeringer om sporbarhed for missionskritiske enheder, for eksempel."
Hvad angår Helme, ville han elske at se virksomhedsmaskiner indstillet til opdateringer på en måde, der er realistisk og ikke besværlig for brugeren eller producenten - et nyt certifikat udstedt og opdatering downloadet hvert femte år, måske. Men producenterne vil ikke blive tilskyndet til at gøre det, medmindre virksomhedskunder presser på for det, bemærker han.
"Generelt tror jeg, at dette er noget, industrien skal rette," siger Edwards enig. "Den gode nyhed er, at de fleste af disse udfordringer ikke nødvendigvis er teknologiske. Det handler mere om at vide, hvordan det hele fungerer, og at få de rigtige mennesker og procedurer på plads.”
