Jak bezpieczny jest Internet Rzeczy?

Znajdujemy się dopiero na początku ery, w której Internet Rzeczy uczyni nasze życie łatwiejszym. Jednocześnie trzeba będzie sobie poradzić z bardzo realnym zagrożeniem dla cyberbezpieczeństwa przesyłanych nim danych.

Bezpieczeństwo informacji jest obecnie bardzo często tematem publicznych dyskusji, a jego znaczenie będzie się tylko zwiększać. Ujawnienie przez Edwarda Snowdena informacji dotyczących inwigilacji obywateli, a także zdarzające się kradzieże wielkich ilości danych – np. ze sklepów internetowych, holdingów finansowych czy firm telekomunikacyjnych – spowodowały, że kwestia ta trafiła na pierwsze strony gazet i serwisów informacyjnych. Najprawdopodobniej problem będzie narastał, zwłaszcza gdy uwzględni się stały wzrost popularności i rozprzestrzenianie się zastosowań technologii Internetu Rzeczy (Internet of Things – IoT).

Według prognoz liczba urządzeń wykorzystujących technologię IoT osiągnie do 2020 r. aż 50 mld, co będzie wiązało się z licznymi udogodnieniami i korzyściami dla konsumentów i firm. Dla hakerów taka sytuacja stanie się jednak żyłą złota. Na rynku upowszechni się bowiem nowy rodzaj sprzętu komputerowego (hardware) oraz oprogramowania, za pomocą których da się kraść dane lub pieniądze.

Wyniki testów dotychczas stosowanych zabezpieczeń urządzeń IoT nie są szczególnie zachęcające. Badaczom udało się już włamać do wszystkiego – od inteligentnych urządzeń produkowanych przez należącą do Google firmę Nest Labs, przez podłączoną do Internetu lalkę, po drukarkę od Canona. Znaczne i możliwe do wykorzystania luki w oprogramowaniu zostały także znalezione w żarówkach z modułami WiFi, inteligentnych zegarkach (smartwatch), a nawet podłączonych do Internetu nianiach elektronicznych (baby monitors).

Pojawiają się pytania, jak te zagrożenia wpływają i wpłyną na firmy, skoro np. do ich sieci WiFi są dołączane takie urządzenia jak inteligentne termostaty. Eksperci od cyberbezpieczeństwa szybko sformułowali swoje obawy związane z technologią IoT. Wielu z nich wskazuje na producentów urządzeń jako tych, od których zależy w tej mierze bardzo wiele.

Zagrożone urządzenia

Badanie przeprowadzone wśród 7 tys. informatyków przez międzynarodowe stowarzyszenie specjalistów ds. cyberbezpieczeństwa ISACA wykazało, że aż 75% z nich uważa, iż producenci urządzeń obsługujących technologię IoT nie wdrażają wystarczających środków zabezpieczeń danych. 73% badanych stwierdziło z kolei, że istniejące normy zabezpieczeń są niedostateczne.

– Internet Rzeczy ułatwia nam życie i czyni je pod wieloma względami lepszym – ocenia Brian Honan, dyrektor zarządzający irlandzkiej firmy BH Consulting. – Niestety, musimy także wziąć pod uwagę, że w pędzie do wprowadzania na rynek urządzeń przeznaczonych do współpracy z IoT producenci zapominają często o bezpieczeństwie. Nierzadko okazuje się, że nowoczesny sprzęt przeznaczony do współpracy z Internetem Rzeczy już od momentu wyjęcia z opakowania nie jest odpowiednio chroniony. Ma słabe zabezpieczenia fabryczne, ustawione domyślnie łatwe do złamania hasła, a osoby mające złe zamiary mogą w łatwy sposób przejąć nad nim kontrolę. Wiele z tych urządzeń jest w stanie gromadzić liczne i najróżniejsze informacje, co ma służyć rozmaitym firmom do poprawy swoich usług, ale jeżeli te informacje trafią w niewłaściwe ręce, ucierpi prywatność.

Na szerokim froncie ataków

Ken Munro jest dyrektorem generalnym i założycielem brytyjskiej firmy PenTest Partners, skupiającej zespół specjalistów testujących możliwości penetracji przez sieć. Udało im się już znaleźć wiele słabych punktów w zabezpieczeniach urządzeń IoT. Munro zgadza się, że zabezpieczenia muszą być zaprogramowane w produktach od samego początku, szczególnie biorąc pod uwagę duże przyspieszenie w rozpowszechnianiu się urządzeń IoT.

– Jako badacz zabezpieczeń wręcz kocham Internet Rzeczy, a to dlatego, że istnieje w nim tak ogromna powierzchnia do przeprowadzania rozmaitych ataków – mówi Munro, dodając, że hakerzy mają tu do dyspozycji niemal wszystko, począwszy od niedostatecznych zabezpieczeń urządzeń i aplikacji mobilnych, skończywszy na słabych punktach interfejsów programistycznych aplikacji (API) i infrastruktury serwerów. Rozprowadzanie na szeroką skalę urządzeń IoT służy bezpośrednio zwiększaniu tego ryzyka.

– W sieci IoT każdy ma dostęp do wszystkiego, co oznacza, że potrzebujemy ekspertów od oprogramowania układowego (firmware), systemów operacyjnych (OS), aplikacji mobilnych i kodów programowych – zauważa Ken Munro. – Musimy wiedzieć, jak łączyć aplikacje z technologią bezprzewodową i GSM. Zestaw umiejętności wymaganych do wdrożenia technologii IoT stale dynamicznie rośnie. Widzimy szalone przyspieszenie w dostępności urządzeń IoT, spowodowane głównie tym, że można na tym zarobić pieniądze. Myślę jednak, że niedługo zaczną wreszcie powstawać odpowiednie normy podejmujące kwestie bezpieczeństwa w tym zakresie.

Munro jest członkiem Fundacji Bezpieczeństwa Internetu Rzeczy (IoT Security Foundation), organizacji, która pracuje właśnie nad opracowaniem takich norm. Podobne zadania dla sprzętów mobilnych postawiło przed sobą Stowarzyszenie GSM (GSM Association), którego działalność koncentruje się na interesach operatorów sieci mobilnych na całym świecie. Producenci zbyt często są skupieni raczej na dostarczaniu urządzeń na rynek, niż na ich bezpieczeństwie. Niektórzy zwyczajnie mają nadzieję, że wystarczy łatanie zabezpieczeń metodą OTA (Over The Air – bezprzewodowych aktualizacji oprogramowania) lub liczą na to, że problemy same znikną.

Poprzez słabe punkty technologii IoT, które zwykle znajdują się w kodach źródłowych aplikacji lub są związane ze słabymi hasłami i niezabezpieczonymi sieciami WiFi, hakerzy są w stanie przejąć kontrolę nad urządzeniami lokalnie lub zdalnie. W tym drugim przypadku może to doprowadzić do ataków na większą skalę, skutkujących np. wyłączeniem w całej firmie ogrzewania czy nielegalnym monitorowaniem biura w celu upewnienia się, kiedy jest ono puste.

Wielu ekspertów za główną kwestię cyberbezpieczeństwa związanego z IoT uważa zarządzanie łatkami (poprawkami) zabezpieczeń (patch management). Wyrażają oni też obawy, że ataki na urządzenia IoT mogą doprowadzić do rozsyłania przez urządzenia podłączone do sieci IoT złośliwego oprogramowania (malware) za pomocą botnetów (grupy komputerów zainfekowanych złośliwym oprogramowaniem, pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie nad nimi zdalnej kontroli) lub nawet zwykłych e-maili ze spamem.

Korzyści więcej niż strat

Duńska firma transportowa Maersk dysponuje jednym z największych do tej pory wdrożeń Przemysłowego Internetu Rzeczy (Industrial Internet of Things – IIoT). Zrealizowano je, aby zapewnić we wszystkich przewożonych kontenerach chłodniczych właściwą temperaturę. Monitorowanie jej poziomu jest prowadzone w czasie rzeczywistym za pomocą czujników podłączonych do Internetu (IP-enabled sensors). Wcześniej na sprawdzenie i raportowanie tych warunków technicy potrzebowali dwóch dni. Odczyty z czujników są cały czas przesyłane za pośrednictwem satelity do systemów monitorujących, dzięki czemu wszelkie problemy na statkach znajdujących się na pełnym morzu mogą być natychmiast identyfikowane.

Jak twierdzi Andy Jones, dyrektor ds. informatyki brytyjskiego oddziału firmy Maersk, problemy powstają wówczas, gdy systemy IoT są podłączane do układów fizycznych, takich jak układ hamulcowy czy poduszki powietrzne pojazdów albo instalacje ogrzewania i klimatyzacji w budynkach. W tych obszarach istnieje wiele wyzwań związanych z zapewnieniem bezpieczeństwa. Nie tylko z powodu trudności z organizacją aktualizacji i wprowadzania poprawek do urządzeń i oprogramowania, ale także dlatego, że protokół Internetowy (IP) wykorzystywany przez urządzenia IoT jest z natury rzeczy niezabezpieczony.

Czynniki ryzyka: Internet, urządzenia i użytkownicy

– Połączmy wszystkie zagrożenia z trzema faktami – wylicza Allan Woodward, profesor informatyki na Uniwersytecie w Surrey. – Po pierwsze, w Internecie nie wypracowano dotąd żadnej formy porozumienia jego użytkowników dotyczącego poziomu usług. Po drugie, w sieci istnieją miliony urządzeń znajdujących się w rękach mało obeznanych z techniką użytkowników. Po trzecie, dostęp do sieci jest możliwy na całym świecie. W efekcie otrzymujemy istną mieszankę wybuchową! W dodatku Internet Rzeczy jest konfigurowany za pomocą wbudowanych systemów komputerowych, również w przypadku taniego, dostępnego od ręki sprzętu i oprogramowania z otwartym kodem źródłowym. Mam też świadomość, jak słabe jest zarządzanie poprawkami, a przecież aktualizacja oprogramowania układowego we wbudowanych systemach IoT pozostaje ekstremalnie trudna. W sumie upoważnia to do stwierdzenia, że Internet Rzeczy jest dalece bardziej zagrożony niż podstawowe, klasyczne systemy komputerowe. Stanowi obszar, w którym tak naprawdę powinniśmy powtórzyć wszystkie lekcje z informatyki, jakie braliśmy przez ostatnie dwadzieścia pięć lat.

Pole działań dla firm: audyty

Zadbanie o bezpieczeństwo sieci IoT jest w dużej mierze rolą dyrektorów ds. informatyki i innych osób decyzyjnych w firmach. Wszyscy oni powinni zadbać o przeprowadzanie audytów i właściwe zarządzanie urządzeniami IoT. Nawet gdyby wiązało się to z koniecznością przeprowadzenia inspekcji w celu ustalenia, które zakładowe urządzenia łączą się z sieciami. Trzeba bardzo dokładnie i skrupulatnie sprawdzać, jakie dane mogłyby być zagrożone w razie włamania do systemu i do czego mieliby dostęp hakerzy, jeśli sieć byłaby wydzielona. Każda ocena ryzyka powinna też obejmować próbę wzięcia pod uwagę sposobu myślenia przestępców oraz wyciąganie wniosków z analogicznych sytuacji z przeszłości.

Firmy powinny również opracowywać i wprowadzać w życie swoje własne reguły dotyczące korzystania z Internetu Rzeczy. Użytkownicy powinni mieć pełną świadomość, że ich dane mogą w nim zniknąć oraz że istnieje ryzyko, iż wykorzystywane urządzenia dostaną się pod kontrolę niepowołanych osób.

Autor: Doug Drinkwater jest redaktorem portalu Internet of Business.

Zobacz na Control Engineering Polska