Internet Rzeczy a bezpieczeństwo

Technologia Internetu Rzeczy (Internet of Things – IoT) jest o krok od uczynienia naszego życia znacznie prostszym, jednak należy być świadomym rzeczywistego zagrożenia dla cyberbezpieczeństwa wynikającego z jej powszechnego wdrożenia i odpowiednio zająć się tym problemem.

Bezpieczeństwo informacji jest obecnie gorącym tematem dyskusji, a jego znaczenie z pewnością wkrótce wzrośnie jeszcze bardziej. Ujawnione przez Edwarda Snowdena informacje na temat inwigilacji przez rząd i poważnych naruszeń prywatności m.in. w Target, JPMorgan i TalkTalk trafiły na czołówki wszystkich mediów na świecie, a biorąc pod uwagę wciąż rosnący stopień rozpowszechnienia technologii Internetu Rzeczy (IoT), znaczenie tej problematyki pewnie nie ulegnie zmianie.

Zgodnie z przewidywaniami liczba urządzeń IoT do 2020 r. wzrośnie do 50 miliardów, oferując konsumentom i firmom ogromną wygodę i wiele innych korzyści, ale niestety może stanowić żyłę złota również dla hakerów. Wiąże się to z faktem, że urządzenia i moduły IoT stanowią kolejny sprzęt czy oprogramowanie, do którego można się włamać i następnie pozyskać istotne dane lub po prostu pieniądze.

Pierwsze informacje o bezpieczeństwie technologii IoT nie brzmią zbyt zachęcająco: specjalistom udało się włamać praktycznie wszędzie: od termostatu Nest (produktu automatyki budynkowej Google) do zabawek dziecięcych czy wreszcie drukarek Canona podłączonych do Internetu. Poważne i możliwe do wykorzystania luki w zabezpieczeniach oprogramowania znaleziono również w żarówkach z modułami komunikacji Wi-Fi, smart-watchach czy też elektronicznych nianiach połączonych z Internetem. Pojawiły się również pytania, w jaki sposób wpłynie na działalność firm podłączenie do sieci Wi-Fi przedsiębiorstw urządzeń podobnych do termostatów Nest i Hive. Specjaliści ds. bezpieczeństwa od początku zgłaszali swoje obawy co do rosnącej popularności Internetu Rzeczy, a wielu z nich winę przerzuca na stronę producentów.

Niewystarczające cyberbezpieczeństwo urządzeń

Ankieta przeprowadzona niedawno przez stowarzyszenie ds. cyberbezpieczeństwa ISACA (Information Systems Audit and Control Association) wśród 7 tys. specjalistów IT wykazała, że 75% z nich uważa, iż producenci urządzeń IoT nie instalują w urządzeniach wystarczających środków bezpieczeństwa, a dalsze 73% ankietowanych stwierdziło, że istniejące standardy bezpieczeństwa nie są wystarczające.

Brian Honan, dyrektor zarządzający w BH Consulting, przyłączył się do głosów wyrażających niezadowolenie i sprzeciw. – Internet Rzeczy sprawia, że nasze życie jest pod wieloma względami łatwiejsze i lepsze, ale niestety musimy wziąć pod uwagę także to, że spiesząc się z wdrażaniem tych urządzeń na rynek, producenci zapominają o kwestiach bezpieczeństwa – przypomina Honan. – Widzimy, jak wiele urządzeń IoT, począwszy od czajników i żarówek po całą rzeszę różnych produktów, jest po prostu niezabezpieczonych fabrycznie; ich bezpieczeństwo jest bardzo małe, mają domyślne hasła i mogą pozwolić osobom o złych zamiarach przejąć nad nimi kontrolę, by wykorzystać je do własnych celów.

– Pojawia się również kwestia prywatności, ponieważ wiele z tych urządzeń pozyskuje różne informacje, które następnie są wykorzystywane przez firmy do poprawy oferowanych usług. Ale jeśli te informacje wpadną w niepowołane ręce, spowoduje to naruszenie czyjejś prywatności. – dodaje Honan

Ataków co niemiara

Ken Munro jest założycielem i dyrektorem (CEO) PenTest Partners, zespołu ds. badania stopnia penetracji, który w ubiegłym roku odkrył bardzo wiele luk w zabezpieczeniach urządzeń IoT. Munro zgadza się z Honanem, że zabezpieczenia muszą być fabrycznie wbudowane w produkty od samego początku, zwłaszcza biorąc pod uwagę gwałtowne rozpowszechnianie się urządzeń IoT.

– Jako specjalista ds. bezpieczeństwa danych i informacji uwielbiam Internet Rzeczy z uwagi na ogromną powierzchnię potencjalnego ataku – mówi Munro, dodając, że atakujący mogą wykorzystać wszystko, od błędów w urządzeniu i aplikacji mobilnej po luki w zabezpieczeniach interfejsu programowego aplikacji (API) czy infrastruktury serwera, a wszystko w celu zaatakowania użytkowników IoT. Ponadto przyznaje, że wprowadzanie takich urządzeń na rynek i oddanie ich w ręce personelu i nieświadomych klientów powoduje spotęgowanie tego ryzyka.

 – Każdy ma dostęp do wszystkich urządzeń IoT, a to oznacza, że potrzebne są: oprogramowanie sprzętowe, system operacyjny, aplikacja mobilna i specjaliści od kodowania. Trzeba znać się na tym, jak połączyć aplikacje z technologią bezprzewodowego lub globalnego systemu komunikacji mobilnej (GSM). Do właściwego wdrożenia technologii IoT konieczne jest posiadanie odpowiednich umiejętności. Jesteśmy świadkami gwałtownego wzrostu liczby dostępnych urządzeń IoT – głównie dlatego, że wiążą się z tym ogromne zyski, ale myślę, że niedługo dostępne będą również odpowiednie standardy – dodaje Munro.

Ken Munro pracuje nad standardami w fundacji ds. bezpieczeństwa IoT (IoT Security Foundation) i mówi, że stowarzyszenie GSM, którego uwaga skupiona jest na korzyściach dla operatorów urządzeń mobilnych na całym świecie, również pracuje nad czymś podobnym na rzecz tego sektora. Munro dodał, że sprzedawcy zbyt często są skoncentrowani na wprowadzeniu towarów na rynek i szybkim zysku, zamiast na bezpieczeństwie urządzeń. Niektórzy mają nadzieję, że wystarczą poprawki w aktualizacjach OTA i po problemie.

Munro, który na początku tego roku pochwalił Fitbit za wspieranie własnego zespołu ds. bezpieczeństwa, powiedział, że wady IoT, które zwykle tkwią w kodzie źródłowym aplikacji lub są związane ze słabymi hasłami i niezabezpieczoną siecią Wi-Fi, mogą umożliwić hakerom przejęcie kontroli nad urządzeniami na miejscu lub zdalnie. Ten ostatni przypadek może ostatecznie doprowadzić do ataków na większą skalę, powodując np. wyłączenie ogrzewania czy obserwowanie budynku pod kątem obecności w nim osób.

Tymczasem inni specjaliści twierdzą, że zarządzanie poprawkami stanowi poważny problem z uwagi na przewidywaną ogromną liczbę urządzeń IoT do wysyłki, a także podkreślają, że bardziej wyrafinowane ataki na IoT mogłyby np. prowadzić do sytuacji, w których samochody prowadzone bez kierowców zostałyby wykorzystane jako ruchome bomby lub powiązane urządzenia wysyłałyby złośliwe oprogramowanie za pomocą botnetów (grupy zainfekowanych komputerów, serwerów) lub spamu poczty elektronicznej.

Przewaga korzyści nad wadami

Przedsiębiorstwo transportowe Maersk dysponuje jedną z największych flot urządzeń Przemysłowego Internetu Rzeczy (Industrial IoT – IIoT), w celu utrzymywania odpowiedniej temperatury we wszystkich chłodzonych kontenerach.

Na niedawno zorganizowanej konferencji Andy Jones, dyrektor ds. zarządzania informacjami (CIO) w brytyjskiej filii firmy Maersk, opisał korzyści z wdrożenia tych urządzeń, podkreślając, że firma jest dzięki temu w stanie monitorować towary w czasie rzeczywistym za pomocą czujników wykorzystujących protokół internetowy (IP), podczas gdy wcześniej kontrola i sporządzenie raportu stanu przez dwóch inżynierów zajmowały dwa dni.

Odczyty z czujników dostarczane są do systemu monitorowania w firmie Maersk w sposób ciągły za pośrednictwem satelity, dzięki czemu wszelkie pojawiające się problemy mogą zostać od razu zidentyfikowane.

Według Jonesa problem pojawia się wtedy, gdy systemy IoT podłączone są do fizycznego układu, jak np. układ hamulcowy lub system poduszek powietrznych w samochodzie, czy też systemu ogrzewania i chłodzenia w budynkach. Istnieje wiele wyzwań związanych z zachowaniem bezpieczeństwa, nie tylko z powodu trudności w naprawianiu błędów w urządzeniach i oprogramowaniu, ale również dlatego, że protokół IP stosowany przez urządzenia IoT jest ze swojej natury niezabezpieczony.

Czynniki ryzyka: Internet, urządzenia, użytkownicy

– Zważywszy na to, że Internet nie ma żadnej umowy o poziomie świadczonych usług oraz jest dostępny na całym świecie, a także, że miliony urządzeń znajdują się w rękach niezbyt zaawansowanych i świadomych użytkowników, otrzymujemy przepis na monstrualną katastrofę – tłumaczy Alan Woodward, profesor ds. systemów komputerowych na Uniwersytecie Surrey. – Największe obawy z punktu widzenia bezpieczeństwa wiążą się z tym, że IoT instalowany jest z wykorzystaniem wbudowanego systemu komputerowego, który znany jest z tanich, ogólnodostępnych rozwiązań oprogramowania i sprzętu typu open-source – dodaje ekspert.

Woodword wyraża również zaniepokojenie tanimi urządzeniami i kiepskim zarządzaniem poprawkami. W jego opinii aktualizowanie oprogramowania sprzętowego we wbudowanych systemach IoT jest „bardzo utrudnione” i „problematyczne”. – Uważam, że Internet Rzeczy prezentuje znacznie większe możliwości potencjalnych ataków niż standardowe urządzenia komputerowe. Internet Rzeczy to taki klasyczny przykład, w którym ludzie muszą od nowa uczyć się tego, czego nauczyli się przez 25 lat ery komputerów.

Co na to firmy

Ken Munro zachęca dyrektorów CIO i inne osoby podejmujące decyzje w sprawie IoT, by byli proaktywnymi w temacie kontroli i zarządzania urządzeniami, nawet jeśli będzie to się wiązało z nerwowym wyszukiwaniem, które urządzenia są podłączone do sieci przedsiębiorstwa.

Jak mówi Munro, dyrektorzy CIO muszą bardzo poważnie przeanalizować, które dane mogą zostać utracone w razie włamania do systemu i do czego hakerzy uzyskają dostęp w przypadku wydzielenia sieci.

Jones wyraża optymizm co do przyszłych planów bezpieczeństwa, ale stanowczo doradza izolowanie zagrożonych urządzeń IoT. – Każda ocena ryzyka powinna zawierać również czarny scenariusz i czerpać nauki z analogicznych sytuacji z przeszłości – tłumaczy. Woodward nakłania firmy do wdrożenia polityk dotyczących IoT, aby użytkownicy zdawali sobie sprawę z tego, że ich informacje mogą zostać usunięte, a kontrola nad ich urządzeniami przejęta.

Autor: Doug Drinkwater jest redaktorem serwisu Internet of Business, który jest organizatorem konferencji Internet of Manufacturing Conference, zaplanowanej na 1–2 listopada 2016 r. w Chicago.

Tekst pochodzi z nr 3/2016 magazynu „Inteligentny Budynek”. Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.