Sikkerhed i Sigfox-netværket

Sigfox ønsker at forbinde milliarder af enheder i det globale Sigfox-netværk og levere lokal og global forretningsværdi på tværs af landegrænser. Det stiller høje krav til sikkerheden, og Sigfox har implementeret topmoderne, industrigodkendte sikkerhedsforanstaltninger i hele processen, fra IoT-enhederne, netværket og frem til kundernes it-systemer.

Sikkerhed i hele netværkskæden

Sikkerheden er tænkt igennem hvert element af det globale Sigfox netværk. Sigfox Ready™ logoet garanterer, at der kun benyttes IoT enheder på netværket, der er testet og godkendt af Sigfox.

Sikkerhed i IoT-enheder

Autorisering
Alle Sigfox Ready™ enheder bliver i produktionen tilknyttet en unik symmetrisk autorisations-id som gør, at enheden kan identificeres af netværket. Når enheden sender en besked igennem netværket, bliver beskeden vedhæftet en kryptografisk nøgle, som er baseret på enhedens autorisations-id. På denne måde kan man være sikker på, at afsenderen rent faktisk er den, som den påstår at være.

Pålidelighed
For at sikre, at beskederne fra enheden bliver modtaget sikkert af Sigfox basestationerne, bliver hver besked sendt tre gange på forskellige tilfældige radiofrekvenser. På den måde sikrer man, at beskederne altid når frem og samtidig er umådelig robuste mod jamming-angreb. Netværket holder samtidig styr på, hvor mange gange hver unik besked bliver modtaget, så fabrikerede gentagelser af samme besked bliver afvist.

Ultrabegrænset adgang
Selvom det lyder paradoksalt, er Sigfox enhederne faktisk slet ikke forbundet til Internettet. De bruger nemlig Sigfox’s proprietær protokol i modsætning til den gængse Internetprotokol (IP) og har derfor ikke nogen IP-adresse. Uden en IP-adresse er det ikke muligt for en ondsindet hacker at sende direkte anmodninger til enheden over Internettet. Den eneste måde, en Sigfox-forbundet enhed kan modtage en besked på, er, når den selv anmoder netværket om det. Herefter kan den modtage en besked indenfor en snæver tidsbegrænset periode.

Basestationer

Sikret af Trusted Platform Module (TPM)
En Sigfox basestation er det hardware, som modtager beskederne fra IoT-enhederne gennem en antennemast. Disse er alle sikret igennem en sikkerhedsteknologi, som hedder Trusted Platform Module, hvilket er en fysisk chip installeret i basestationen, som har ansvaret for alle kryptografiske operationer. Den har ansvaret for at sikkert generere og gemme nøgler, passwords, og digitale certifikater.

TPM følger en international standard (ISO/IEC 11889), som indebærer en række sikkerhedsforanstaltninger:

Hvert TPM-modul bliver produceret med en RSA-nøgle, som bruges til at kryptere beskederne, som sendes via en VPN til Sigfox-kernesystemet. På denne måde kan kernenetværket være sikker på, at beskederne kommer fra en autoriseret basestation.

Sammen med hver besked der sendes, vedhæftes en hashnøgle genereret af TPM-modulet. Denne hashnøgle indeholder information om software- og hardwarekonfigurationen på basestationen, hvor beskeden blev afsendt fra. På den måde kan man være sikker på, at basestationen ikke er blevet fysisk manipuleret på nogen måde.

Der er en tovejssikring af operativsystemet og hardwaren i basestationen. Dette betyder, at operativsystemet ikke kan køres på andet hardware end det, der er godkendt af Sigfox samtidig med, at operativsystemet tjekker den hardware, den kører på og nægter at starte, hvis opsætningen er anderledes, end det den forventer.

Datacentre (Sigfox-skyen)

Sikkerhedsgodkendelse
Sigfox kernenetværket er grundlæggende et skybaseret netværk, som er hosted i sikre datacentre i Frankrig. Disse topmoderne datacentre er beskyttet ifølge internationale standarder og anvender biometrisk beskyttelse for at sikre autoriseret tilgang til den enkelte server rack.

Redundans
Datacentrene har en dobbeltforbindelse til forskellige internetudbydere og er opbygget med en arkitektur, der implementerer en intelligent lastfordeling. Hver server er dobbeltforbundet, og hver komponent er fuldstændig redundant, konstant overvåget, og skalérbar for at kunne understøtte en fremtidig øgning i datatrafik. Dette sikrer, at der altid er tjeneste med absolut minimal risiko for nedbrud.

Beskyttelse mod cyber-angreb
Sigfox bruger en dedikeret løsning suppleret og vedligeholdt af deres internetudbyder mod diverse cyber-angreb, som forsøger at nedlægge tjenesten. Denne løsning bruger flere såkaldte ‘skrubningscentre’, som detekterer og forhindrer angreb ved at bruge proprietære algoritmer, som analyserer det indkommende data mod mønstrene i Sigfox-datatrafikken.

Kundesystemer

Sikker forbindelse med HTTPS
Om du bruger webportalen, Sigfox Cloud API’en, eller modtager beskeder gennem din email, bliver al data sendt gennem en sikker forbindelse med HTTPS-protokolen, som er den almindelige måde at sikre en webforbindelse på. Dette er samme type forbindelse, der beskytter dig, når du handler online med kreditkort, og som i dag er en standard forventning til alle hjemmesider.

Igennem Sigfox Cloud backend brugerpanelet kan du oprette adgangskonti med adgangsrettigheder, som er tilpasset de nøjagtige funktioner, der passer til deres formål. Dermed har du en høj grad af granularitet på hvem, der har adgang til hvad.

Således når dataen frem til sit endelige mål i kundesystemerne med sikkerhed forankret i hele rejsen.’

Ønsker du at få mere at vide om sikkerhed i Sigfox-netværket, kan du besøge Sigfox’s hjemmeside her.