Hur vet vi vilka IoT-enheter som finns i vårt nätverk?

Genom en nätverksinventering, till exempel med återkommande sårbarhetsskanning. De flesta verksamheter hittar fler uppkopplade enheter än de trodde fanns: kameror, skrivare, skärmar, larm och styrsystem som aldrig registrerats hos IT. Inventeringen behöver upprepas regelbundet, inte göras en gång.

Räcker det att byta standardlösenorden på enheterna?

Det är det viktigaste första steget och stoppar massangrepp i Mirai-stil, men det räcker inte mot riktade angrepp eller sårbarheter i enhetens firmware. Kombinera lösenordsbyte med firmware-uppdateringar, nätverkssegmentering och övervakning av trafiken.

Vad gör vi med gamla enheter som inte längre får uppdateringar?

Byt ut dem om de fyller en kritisk funktion. Går det inte just nu: isolera dem i ett eget nätverkssegment utan väg in till verksamhetssystemen, stäng av alla tjänster som inte behövs och övervaka deras trafik extra noga tills de kan fasas ut.

IoT-säkerhet: små enheter, stor attackyta

IoT-enheter är små, billiga och osynliga i vardagen. Kameran i receptionen, routern i konferensrummet, sensorerna i lagret — de gör sitt jobb år efter år utan att någon tänker på dem. Det är precis det som gör dem till en av de mest förbisedda säkerhetsriskerna i svenska verksamheter.

Osynliga datorer överallt

Varje uppkopplad enhet är i grunden en dator, med processor, operativsystem och tillgång till ert nätverk. Skillnaden är att den inte förvaltas som en dator. Ingen patchar den, ingen övervakar den, och ofta vet ingen ens om att den finns. En övervakningskamera som monterades för fem år sedan kör i regel exakt samma firmware i dag.

Många enheter kommer dessutom in bakvägen: fastighetsavdelningen köper ett passersystem, kontorsansvarig sätter upp en smart skärm, någon kopplar in en väderstation. Inget av det passerar IT, och ingen för in det i någon inventarielista. Resultatet är ett växande skuggnätverk av enheter som ingen har ansvar för.

Mirai visade vad som händer

Hösten 2016 byggde botnätet Mirai upp en armé av hundratusentals kapade kameror, routrar och digitalboxar. Metoden var pinsamt enkel: skanna internet, prova en kort lista med fabrikslösenord, logga in. Inget avancerat intrång, ingen sårbarhet — bara dörrar som aldrig låsts.

Botnätet användes sedan för några av de största överbelastningsattackerna som dittills uppmätts, bland annat den mot DNS-leverantören Dyn som slog ut stora delar av webben i USA under en dag. När källkoden senare publicerades öppet föddes en hel familj av varianter, och de lever kvar än i dag — nu med företagsutrustning som brandväggar, NAS:er och videosystem på menyn.

Lärdomen från Mirai är obekväm: angriparen behövde inte "hacka" någonting. Den loggade in med lösenord som stod i manualen. Tio år senare fungerar samma metod fortfarande förvånansvärt ofta.

Varför IoT är svårt att säkra

IoT-enheter går sällan att skydda på samma sätt som datorer och servrar. Det går oftast inte att installera ett endpoint-skydd på en kamera. Leverantörer slutar släppa firmware-uppdateringar efter några år, ibland tidigare. Enheterna sitter kvar i drift i fem till tio år, långt efter att supporten upphört. Och ur kartongen kommer de med öppna tjänster som telnet, UPnP och fjärradministration påslagna, för att installationen ska gå snabbt.

Det betyder att skyddet måste byggas runt enheterna i stället för i dem: i nätverket, i rutinerna och i övervakningen.

Sex åtgärder som ger mest effekt

Byt alltid standardlösenord. Det är det första varje botnät provar. Unika, starka lösenord per enhet — gärna via lösenordshanterare.
Uppdatera firmware regelbundet. Schemalägg det som en återkommande rutin och prenumerera på leverantörernas säkerhetsbulletiner i stället för att hoppas på automatik.
Segmentera nätverket. IoT-enheter ska ligga i ett eget nätverkssegment utan väg in till verksamhetssystemen. En kamera har inget i samma nät som ekonomisystemet att göra.
Stäng av onödiga tjänster. Telnet, UPnP och fjärradministration mot internet ska bort om de inte uttryckligen behövs.
Övervaka trafiken. En sensor som plötsligt börjar prata med servrar i andra länder är en tydlig varningssignal. Kontinuerlig övervakning av nätverkstrafiken fångar den sortens avvikelser tidigt.
Inventera allt. Ni kan inte skydda det ni inte vet finns. En återkommande sårbarhetsskanning hittar både enheterna och deras svagheter.

IoT-säkerhet handlar inte bara om teknik. Det handlar om kontroll, ansvar och kontinuerlig uppföljning — att någon i organisationen faktiskt äger frågan.

Börja med att ta reda på vad ni har

Det första steget är nästan alltid detsamma: skaffa en komplett bild av vad som faktiskt är uppkopplat. I våra uppdrag hittar vi i stort sett alltid fler enheter än verksamheten kände till, och inte sällan är någon av dem nåbar direkt från internet. På Cyber Guard hjälper vi er att kartlägga attackytan, testa segmenteringen på riktigt och sätta en rutin som håller över tid — så att de små osynliga enheterna förblir just små, och inte blir er nästa incident.

IoT devices are small, cheap and invisible in everyday life. The camera in reception, the router in the meeting room, the sensors in the warehouse — they do their job year after year without anyone thinking about them. That is exactly what makes them one of the most overlooked security risks in Swedish organisations.

Invisible computers everywhere

Every connected device is essentially a computer, with a processor, an operating system and access to your network. The difference is that it is not managed like a computer. Nobody patches it, nobody monitors it, and often nobody even knows it exists. A surveillance camera installed five years ago is usually running exactly the same firmware today.

Many devices also arrive through the back door: facilities buys an access control system, the office manager puts up a smart screen, someone plugs in a weather station. None of it passes through IT, and none of it ends up in an inventory. The result is a growing shadow network of devices that nobody owns.

Mirai showed what happens

In the autumn of 2016, the Mirai botnet assembled an army of hundreds of thousands of hijacked cameras, routers and set-top boxes. The method was embarrassingly simple: scan the internet, try a short list of factory passwords, log in. No advanced intrusion, no vulnerability — just doors that were never locked.

The botnet was then used for some of the largest denial-of-service attacks measured at the time, including the one against DNS provider Dyn that knocked out large parts of the web in the US for a day. When the source code was later published openly, a whole family of variants was born — and they are still alive today, now with corporate equipment such as firewalls, NAS units and video systems on the menu.

The lesson from Mirai is uncomfortable: the attacker did not need to "hack" anything. It logged in with passwords printed in the manual. Ten years later, the same method still works surprisingly often.

Why IoT is hard to secure

IoT devices can rarely be protected the way computers and servers are. You usually cannot install endpoint protection on a camera. Vendors stop releasing firmware updates after a few years, sometimes sooner. The devices stay in service for five to ten years, long after support has ended. And out of the box they ship with services like telnet, UPnP and remote administration enabled, to make installation quick.

That means the protection has to be built around the devices instead of inside them: in the network, in the routines and in the monitoring.

Six measures that give the most effect

Always change default passwords. It is the first thing every botnet tries. Unique, strong passwords per device — preferably via a password manager.
Update firmware regularly. Schedule it as a recurring routine and subscribe to vendor security bulletins instead of hoping for automation.
Segment the network. IoT devices belong in their own network segment with no path into business systems. A camera has no business sharing a network with your finance system.
Disable unnecessary services. Telnet, UPnP and internet-facing remote administration should go unless explicitly needed.
Monitor the traffic. A sensor that suddenly starts talking to servers in other countries is a clear warning sign. Continuous network monitoring catches that kind of anomaly early.
Inventory everything. You cannot protect what you do not know exists. Recurring vulnerability scanning finds both the devices and their weaknesses.

IoT security is not just about technology. It is about control, responsibility and continuous follow-up — someone in the organisation actually owning the question.

Start by finding out what you have

The first step is almost always the same: get a complete picture of what is actually connected. In our engagements we practically always find more devices than the organisation knew about, and quite often one of them is reachable directly from the internet. At Cyber Guard we help you map the attack surface, test the segmentation for real and establish a routine that lasts — so the small invisible devices stay small, instead of becoming your next incident.

IoT-säkerhet: små enheter, stor attackytaIoT security: small devices, large attack surface

Osynliga datorer överallt

Mirai visade vad som händer

Varför IoT är svårt att säkra

Sex åtgärder som ger mest effekt

Börja med att ta reda på vad ni har

Invisible computers everywhere

Mirai showed what happens

Why IoT is hard to secure

Six measures that give the most effect

Start by finding out what you have

Frågor om IoT-säkerhetQuestions about IoT security

Leverantörsrisk: er säkerhet är bara så stark som er svagaste partnerSupplier risk: your security is only as strong as your weakest partner

Incidentrespons: vad ni gör de första 60 minuternaIncident response: what to do in the first 60 minutes