Risker i hemautomation

När du haft hemautomation ett tag så kommer du snart upptäcka att det finns en tendens att man integrerar mer och mer. Vanligen börjar det med belysning och några temperatursensorer men hu inser snart hur mycket som du kan integrera och automatisera och faktiskt få ut värde av ditt system. Det är också då som riskerna ökar.

Dilemmat

Jag ser i flera av forumen i till exempel Facebook att man integrerar sin uppkopplade bil, sitt uppkopplade lås på ytterdörren och sitt uppkopplade larm. Igen, det är med bra integrationer och automatiseringar som man får ut ett värde på riktigt – men jag vill slå ett slag för hur man lämpligen hanterar riskerna.

I början är det troligen harmlöst. Om någon obehörig kommer åt till exempel din Home Assistant så kanske man kan tända och släcka belysning och se hur varmt du har i hemmet. Det är kanske inget som direkt skadar, även om jag vågar lova att du säkert blir rätt omskakad om lampor helt plötsligt börjar blinka och du konstaterar att du är hackad.

Men hemautomation är en beroendeframkallande hobby, och du har snart utökat. Har du garageportöppnare så sitter det snart en pryl på den som gör att du kan öppna och stänga i Home Assistant. När du skaffar ett smart lås så ser du till att det går att få in i systemet. Och pricken över i är när hemlarmet byts ut till ett uppkopplat som också går att få in – nu kan du automatisera så att larmet slås av när du använt din tagg eller pin-kod på låset så slipper du det momentet.

Men tänk nu på scenariot att någon utomstående kommer in i systemet och får kontroll. Helt plötsligt kan denne inte bara låsa upp dörren utan även slå av larmet och gå in och ut som man vill.

Försäkringsfrågan

Här är ett område där hemförsäkringarna inte följt med i utvecklingen. Ett ersättningsbart inbrott definieras i villkoren ofta som att någon faktiskt bryter upp en dörr, slår sönder en ruta eller på annat sätt tar sig in med verktyg eller våld, eller både och. Har någon obehörig gått in med nyckel riskerar man nedsättning av ersättningen från försäkringsbolaget. Och detsamma gäller om någon obehörig tagit sig in genom att hacka sig in i till exempel Home Assistant.

Om du har ett uppkopplat smart lås som du kan låsa upp från din smartphone på ett eller annat sätt rekommenderar jag varmt att du tar kontakt med ditt försäkringsbolag för att få veta hur just de ställer sig.

Minska risken

Om du väljer att gå vidare med integration av känsliga enheter rekommenderar jag att du funderar över riskerna och hur du ska minska dem. För att kunna göra det behöver du sätta dig in i hackarens och tjuvens perspektiv och förstå drivkrafterna.

Det en inkräktare minst av allt vill är att bryta sig in med buller och bång mitt på dagen när alla är hemma. Därefter i fallande skala undviker man gärna att alls ta sig in när någon är hemma, att bryta sig in i ett larmat hus, och i slutändan att bryta sig in över huvud taget. Obemärkt är bäst.

Översatt till IT-säkerhetsspår vill en angripare allra helst jobba så långt från objektet som möjligt. Helst via Internet, och det är det första du behöver säkra upp – förutsatt naturligtvis att ditt system ens är åtkomligt.

Här kan du läsa en artikel om hur du kan skapa en säker och gratis anslutning från Internet.

När ingång via Internet är säkrad behöver du fundera på andra vägar att ta sig in – typiskt är Wi-Fi en riskfaktor. Titta igenom din konfiguration och se till så att ditt Wi-Fi har minst WPA2 och ett slumpmässigt lösenord på minst 10 tecken som man inte kan gissa sig till.

En annan risk är andra prylar som är uppkopplade mot ditt nätverk hemma och som man kan komma åt utan att först bryta sig in. Du kanske har en nätverkskabel inne på altanen? En microcontroller vid poolen? Kanske sitter det en Raspberry Pi i din carport – eller är laddboxen kanske uppkopplad mot ditt interna Wi-Fi? Enheter som är uppkopplade mot ditt hemnätverk kan ofta hackas för att ta reda på till exempel lösenord till Wi-FI.

Tips: ”Hackad”, del 4 på SVT Play – ”När ditt hem blir din fiende”

Är det värt det?

Är vad värt vad? Är det värt att ta risken att någon obehörig kan låsa upp och larma av, genom att hacka ditt smarta hem? Är det värt krånglet att säkra upp anslutning över Internet, och säkra upp Wi-Fi och alla enheter som är uppkopplade mot det?

De frågorna är det bara du själv som kan svara på – men tänk som vanligt utifrån ett riskperspektiv. ”Lås är till för de ärliga” brukar man säga utifrån perspektivet att tjuven alltid tar sig in om denne verkligen vill. Så låset har du således inte för att vara säker på att aldrig råka ut för inbrott. Du har ett bra lås för att känna så hög trygghet som möjligt för dig och de dina. Du har ett bra lås för att, om det värsta skulle hända, få fullt stöd från ditt försäkringsbolag.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.

Ett svar på ”Risker i hemautomation”

Kommentarer är stängda.