IoTSec:Y1 Suggestions Research Council

Recommendations on the overall Research Portfolje

 * '''Access to attack database"'

IoTSec recommendations for future research
High-level recommendations and more detailed research specific challenges as identified by IoTSec (Nov2016)


 * Privacy labelling: We have identified privacy labelling as a potential for making privacy work into a commercially viable alternative for companies that put more privacy into their products, apps, services. These can be seen for privacy the same as the energy labels for electronic equipment. - see: IoTSec:Privacy_Label
 * Regulations and policies: Pilot-based developments of regulations, allowance to fail, answering the need for quick developments. Adoption of ISO 27000 as done in Norwegian Oil and Gass(?)
 * User-involvement: Research should be directed more towards the society, towards people. Incorporate citizens in projects, give them power to participate. E.g. high-frequency reading from smart meters
 * Early design: Use of fast prototyping and visualisation as a tool for reducing research cost. When ideas are tested in early stage, critical mistakes may be avoided, thus saving resources.

Research specific challenges

 * Complexity due to the concurrency and distributed nature of IoT systems
 * Context-centric computation, since the IoT devices, e.g., in the Smart Home, must be aware of the humans. Includes also concepts for privacy-aware cloud computing, e.g. fog/edge computing
 * Lack of semantics and modelling framework, since IoT systems would produce large amounts of data, need semantic information in order to become usable.
 * Models vs. programs: Analysis and evaluation for agile prototyping based on executable models and semantic-based tools, as and evolution from programming and their low-level tools.
 * Semantics for Security and Privacy: Semantic technologies and ontologies are need to establish a unified terminology for fields of privacy and security. This would provide machine-readable data and would allow development of more automated tools.
 * Edge and fog computing for privacy
 * Measurable security and privacy: A novel concept being in conflict with some purist researchers in security. Though, part of day-to-day business in companies, often entitled as "risk analysis". We see a lack of automated tools and methodologies to help in measuring such important “unmeasurable” aspects like security, privacy, or robustness, which are essential in evaluating smart infrastructures.
 * Metrics for translating (functional and non-functional) security into measurable units, e.g. AES 2048 = 85(?) (scale: 0...100)
 * Adaptive Cyber-Physical System (CPS) Security to tackle dynamicity, ambiguity, uncertainty, and multiplicity The integration of computer networks with the physical environment - Internet of Things (IoT) - raises a whole new class of concerns with regard to security, forensics, safety and privacy. The dynamic nature of the threats to IoT requires the ability to anticipate, detect, respond, and predict attacks, and effectively recover from attacks. CPS and their associated services, as humans, should therefore possess cognitive capabilities, of which situation awareness is one of the components of these capabilities, the ability to perceive the environment, comprehend the situation, project that comprehension into the near future, and determine the best action to execute.

Security topics from Industry
IoT Mirai attack on Dyn, Liberia and Finland, please see: Lessons learned and recommendations

AMS måler - HAN Interface Offentlig tilgjengelig del av AMS måleren som nettselskapet er pålagt å levere. Fra vårt ståsted så er det denne delen av måleren som gjør at den er en IoT device. Resten av måler og kommunikasjonsinterface er pr dags dato rullet ut som et privat nettverk. Dette kan endre seg over tid. Spesifikasjonen av HAN interface og hvilke data nettselskapet skal kunne tilby er fortsatt uspesifisert, utover at det er et serielt grensesnitt. Det er dermed vanskelig å vurdere dette fra et sikkerhetsperspektiv. Det hadde vært interessant og gjort en kartlegging på leverandører som tenker seg å bruke dette interface og hva da skal bruke dataene til. Først da kan vi se på sikkerhetsutfordringene. Styring av laster Nettselskapet har en fremtidig utfordring rundt effektkapasitet i nettet. Det har vært mye diskutert, men få konkrete løsninger. Jeg ser for meg en modell der det kommer inn en strømleverandør eller annet som tilbyr effektfleksibilitet gjennom laststyring til nettselskapet basert på sin kundemasse. Dette gjøres igjen på IoT enheters om kunden stiller tilgjengelig via en IoT tjeneste. Hvordan arkitekturen blir er jeg litt usikker på, men jeg mener at eierskapet til disse IoT enhetene ligger hos sluttkunden. Spørsmålet er hvordan det legges til rette for et interface mellom kunde og nettselskap (enten via strømleverandør eller andre store på hjemmeIoT som Google, Microsoft eller andre). Hvilke utfordringer ser vi med slike nye tjenester? Lokal produksjon og lagring Lokal produksjon ute i lavspent nettet med sol, vindkraft eller lokale batterier. Dette er litt av samme case som den over, men i dette tilfellet så kan det (i tillegg til styring eller informasjonsstrøm av data fra kunde til nettselskap) også være viktig å tenkte på personsikkerhet. Ved lokal produksjon får nettselskapet et problem med at nettet blir spenningssatt fra flere retninger. Hvordan håndteres det ved en feil og et nabolag havner i det vi kaller øydrift og en kabel med brudd kan fortsatt være med spenning på. Kan IoT være med på løse denne utfordringen? Stor utbredelse av lokal produksjon kan i enkelte scenario kanskje også påvirke balansen i nettet. Kan en IoT arkitektur mellom prosumenter (produksjon og forbruk) og nettleverandør være med på å bidra i disse scenarioene.

Information modelling Security and privacy