Jeśli Twoja sieć składa się jedynie z serwerów i stacji roboczych, produkty ochronne z pewnością zapewnią im odpowiedni poziom cyberbezpieczeństwa. Sprawa ma się zupełnie inaczej, jeśli chodzi o Internet Rzeczy (ang. Internet of Things, IoT). W branży tej nie ma przyjętych stosownych standardów, przez co producenci urządzeń mogą bezkarnie ignorować aspekty bezpieczeństwa. W efekcie urządzenia IoT często zawierają luki lub są niedopracowane. Co więcej, w wielu przypadkach są one niepoprawnie skonfigurowane lub można uzyskać do nich dostęp przy wykorzystaniu internetu. Jest to niekorzystna wiadomość nie tylko dla urządzeń Internetu Rzeczy przeznaczonych dla domu czy biura, ale również dla całego przemysłowego Internetu Rzeczy.
Przykład
Przykładów nie trzeba szukać daleko. W naszym serwisie Securelist opublikowaliśmy niedawno artykuł: „Gas is too expensive? Let’s make it cheap!” (w języku angielskim), w którym Ido Naor, starszy badacz bezpieczeństwa z naszego Globalnego Zespołu ds. Badań i Analiz (GReAT), a także Amihai Neiderman z firmy Azimuth Security, opisali wyniki badania poświęconego lukom na stacji benzynowej. Sprawdzone przez nich urządzenie miało bezpośredni dostęp do internetu i było odpowiedzialne za sterowanie każdym elementem stacji, w tym dystrybutorami paliwa czy terminalami płatniczymi.
Co gorsze, do interfejsu sieciowego urządzenia można było uzyskać dostęp poprzez wprowadzenie domyślnych danych logowania. Badacze skrupulatnie przeanalizowali kod oprogramowania zastosowanego w urządzeniu i odkryli, w jaki sposób można wyłączyć wszystkie układy paliwowe, spowodować wyciek paliwa, zmienić jego cenę, obejść konieczność użycia terminala płatniczego (w celu kradzieży pieniędzy), zarejestrować tablice rejestracyjne pojazdów i tożsamość kierowców, wykonać kod w jednostce sterującej, a nawet dowolnie poruszać się w obrębie sieci stacji benzynowej.
Wykryte luki zostały zgłoszone producentowi urządzenia oraz organizacji MITRE w celu nadania im identyfikatorów CVE. Na szczęście nie znaleziono żadnych śladów prób wykorzystania tych luk w jakikolwiek sposób, zanim zostały one wykryte przez białe kapelusze. Jednak patrząc na statystyki dotyczące wydarzeń, które miały największy wpływ na straty finansowe, można zauważyć, że incydenty obejmujące urządzenia połączone z internetem inne niż komputery znajdują się w pierwszej trójce, a przeciętna wysokość szkody w przeliczeniu na jeden incydent wynosiła 114 tys. dolarów.
Rozwiązanie problemu
Nikogo nie trzeba przekonywać, że potrzeba wdrożenia standardów cyberbezpieczeństwa IoT naprawdę istnieje. Organy normalizacyjne będą musiały wprowadzić klasyfikację problemów zagrażających bezpieczeństwu IoT, a także określić, w jaki sposób środki zapewniające cyberbezpieczeństwo mogą wesprzeć bezpieczne wykonywanie zadań systemowych w urządzeniach IoT. Odpowiedzią na to zapotrzebowanie jest rekomendacja ITU-T Y.4806 „Możliwości zabezpieczeń wspierające bezpieczeństwo Internetu Rzeczy” przygotowana przez Grupę badawczą 20 ITU-T (Międzynarodowy Związek Telekomunikacyjny — sektor telekomunikacji).
Będąc członkiem Grupy badawczej 20 ITU-T, firma Kaspersky Lab jest jednym z kluczowych działaczy na rzecz wdrożenia rekomendacji ITU-T Y.4806. Nasi eksperci z zespołu Kaspersky Lab ICS CERT podzielili się swoim doświadczeniem i przygotowali listę punktów, które mogą pomóc ustanowić poziom niezawodnej ochrony w praktyce. Wszystkie informacje związane z omawianą rekomendacją znajdują się na tej stronie.
Rekomendacja ITU-T Y.4806 została przygotowana głównie z myślą o systemach Internetu rzeczy, których bezpieczeństwo ma znaczenie krytyczne, takich jak automatyka przemysłowa, systemy motoryzacyjne, transport, inteligentne miasta, urządzenia do noszenia czy niezależny sprzęt medyczny.