Internet Rzeczy: bezpieczeństwo infrastruktury

Wyrażenie IoT (ang. Internet of Things, Internet Rzeczy) stało się niezwykle modne w ciągu ostatnich kilku lat. Żyjemy w czasach, gdy coraz więcej sprzętów domowych oraz samochodów jest podłączanych na stałe z internetem, a wiele firm zobaczyło ogromny potencjał w tym nowo rodzącym się segmencie biznesowym. Podczas gdy jedni obmyślają strategie biznesowe, inni zaczęli zastanawiać się, czy te urządzenia i samochody są należycie zabezpieczone przed zagrożeniami w wirtualnym świecie.

Jewgienij Kasperski przeformułował skrót IoT jako „Internet of Threats” (pol. Internet Zagrożeń) w wywiadzie udzielonym USA TODAY. Wiąże się to niejako z wystąpieniem Przewodniczącej Federalnej Komisji Handlu, Edith Ramirez na CES 2015 w Las Vegas. Kwestia bezpieczeństwa cybernetycznego jest zawsze gorącym tematem dyskusji, ponieważ nikt jeszcze nie znalazł najlepszego rozwiązania tego problemu związanego z bezpieczeństwem, podobnie jak nierozwiązane zostały inne typowe cyberzagrożenia, z którymi się mierzymy obecnie.

Aktualnie IoT został uznany za „Nowy Rynek” z ogromnym potencjałem. W artykule opublikowanym na stronie magazynu Forbes Cisco szacuje, że do roku 2020 wartość gospodarcza technologii „Internet of Everything” wzrośnie do 19 bilionów dolarów. Gartner szacuje, że przychód dostawców produktów i usług IoT do roku 2020 wyniesie 300 miliardów dolarów, a wg prognoz IDS rynek rozwiązań IoT wzrośnie z 1,9 biliona dolarów w 2013 roku do 7,7 biliona dolarów w 2020, tym samym powiększając go 3,7 razy!

Gadżety, które zapisują informacje dotyczące biometryki, zdrowia czy dane o lokalizacji – czyli obecnie wszystkie najmodniejsze „wearables” – również należą do kategorii IoT. Niemniej jednak nie stanowią one znacznego zagrożenia.

Urządzenia osobiste tego typu nie są niezbędnym elementem naszego życia i społeczeństwa. Inaczej mówiąc, możesz skutecznie zmniejszyć ryzyko wycieku Twoich osobistych danych, jeśli zwyczajnie nie będziesz ich używać lub odłączysz je od usługi chmury. To zależy tylko od Ciebie.

Z drugiej strony jest prawdziwy Internet Rzeczy, który w większości składa się z rozbudowanych systemów lub usług, zwanych tradycyjnie „M2M” (ang. Machine to Machine, komunikacja online między urządzeniami). Takie urządzenia są ściśle zintegrowane (lub przypuszczalnie zintegrowane) z infrastrukturą społeczną/środowiskową, a co za tym idzie – cyberbezpieczeństwo bezpośrednio zależy od danej infrastruktury.

Na przykład, być może część z Was słyszała już coś o inteligentnych sieciach lub mikrosieciach. Są to takie systemy, które zarządzają regionalnym zużyciem energii, równoważąc jej zużycie w domach oraz w miejscach jej pozyskiwania z wiatru/słońca lub systemów kogeneracji gazowej. W każdym z domów umieszone są inteligentne liczniki, które monitorują na bieżąco stan energii. Ogłoszono niedawno, że firma Tokyo Electric Power Company zainstalowała już tysiące takich inteligentnych liczników. Myślę, że można pokusić się o stwierdzenie, że jest to pierwszy krok do powszechnego wdrożenia inteligentnych sieci w niedalekiej przyszłości.

W jaki sposób cyberprzestępcy mogą wykorzystać ten mechanizm? Mogą na przykład zmniejszyć bądź zwiększyć płatności poprzez podanie fałszywych danych zużycia energii i/lub zhakowanie inteligentnego licznika.

Nietrudno wyobrazić sobie inne możliwe scenariusze ataków na krytyczną infrastrukturę. Przejmując kontrolę na systemem kontroli ruchu, można wywołać paraliż miasta, wypadki z udziałem samochodów, a nawet zakłócić system transportu publicznego. Takie sytuacje mogą mieć wpływ zarówno na nasze codzienne życie, jak i na całe funkcjonowanie gospodarki.

Internet Rzeczy a bezpieczeństwo infrastruktury krytycznej

Tweet

Powinniśmy uczyć się na błędach i wdrażać o wiele bezpieczniejsze mechanizmy, zwłaszcza w tych systemach IoT, które są wykorzystywane jako część codziennej infrastruktury społecznej.  Precyzyjniej ujmując: operatorzy i programiści systemów IoT powinni zadać sobie następujące pytania:

1. Czy łatwość użytkowania jest ważniejsza niż bezpieczeństwo?

Ważne jest, aby zmniejszyć możliwości atakującym, a zwiększyć bezpieczeństwo całego systemu.  Łatwość obsługi jest taka sama dla użytkowników, jak i dla atakujących. W ubiegłym roku odnotowano, że kamery internetowe, których używano zgodnie z domyślnymi ustawieniami, umożliwiały naruszenie prywatności. Ten incydent pokazał, że producenci urządzeń powinni skupiać szczególną uwagę na bezpieczeństwie. Proszę, nie zapominajcie o szyfrowaniu danych i komunikacji.

2. Czy funkcja „tylko do odczytu” jest bezpieczna?

Niekoniecznie. Aplikacje są niezależnie uruchamiane w pamięci, a więc atakujący może znaleźć swoją drogę do włamania. Urządzenia sieciowe zwykle działają w oparciu o system Linux, a jak wiadomo – ten system ma wiele luk. Gdy atakujący przejmie kontrolę nad urządzeniem, może włamać się do całego systemu IoT.

3. Moich urządzeń nie można zhakować.

Nad każdym urządzeniem można przejąć kontrolę, dlatego tak ważne jest, aby monitorować stan całego systemu, włącznie z połączonymi węzłami. Należy mieć także oprogramowanie wykrywające nieprawidłowości na każdym węźle. Pamiętasz, gdy Stuxnet przeniknął do irańskich wirówek, które powinny być dobrze chronione?

4. Czy mogę obniżyć koszty testowania?

Testy penetracyjne są bardzo ważne. Takie badania powinny być starannie zorganizowane zgodnie z wymogami bezpieczeństwa Twojego systemu. Zaleca się, aby wdrażać taki typ testowania w normalnym procesie projektowania.

5. Czy wierzę, że bezpieczeństwo nie jest istotnym zagadnieniem?

Bezpieczeństwo jest jednym z krytycznych wymagań. Pomyśl o tym już podczas pierwszego etapu planowania/wdrażania swojego systemu lub usługi. Bez zastosowania odpowiednich środków bezpieczeństwa IoT nie może stać się częścią bezpiecznej infrastruktury społecznej.

Jeśli na któreś z pytań odpowiedziałeś pozytywnie, oznacza to, że Twoje rozwiązanie może stać się problemem nie tylko dla jednej osoby czy firmy, ale również dla wielu innych ludzi.