EN Kontakt

Výzvy kybernetickej bezpečnosti sveta IoT

Niekoľko rokov vzad sme o Internete vecí hovorili ako o niečom čo má len veľmi malú šancu na úspech. Dnes je Internet vecí všeobecne a rozsiahle využívaný buzzword a oblasť, ktorá má potenciál obrovského rastu.

Podľa reportu od spoločnosti GARTNER sa v roku 2017 predalo niečo viac ako 310 miliónov kusov zariadení nositeľnej elektroniky a zariadení. Nositeľná elektronika, ale z angličtiny wearables, sú zariadenia ako napríklad smart hodinky, bluetooth headsety, zariadenia na monitorovanie fitness aktivity atď. Predikcia spoločnosti GARTNER  predpokladá v roku 2021 desaťnásobný nárast predaja týchto zariadení. Nositeľná elektronika nie je však jedinou sférou, kde bude kybernetická bezpečnosť zohrávať zásadnú úlohu.

V čom spočíva základný rozdiel medzi Internetom, ktorý poznáme  a bežne používame a IoT -Internetom vecí. Pojem „IoT – Internet vecí“ prvý krát definoval Kevin Ashton v roku 1999. Tento výraz pre neho predstavoval koncept masívneho systému, v ktorom zariadenia bežného denného využitia, ale rovnako aj priemyselné stroje a zariadenia navzájom komunikujú prostredníctvom všade prítomných senzorov. Rozdiel teda spočíva tom, že Internet vecí nie je o ľuďoch. Internet vecí je o zariadeniach akéhokoľvek charakteru, ktoré sú pripojené do siete a komunikujú v „smart režime“ pomocou množstva dátovo malých správ.Svet sa tak postupne stáva jedným veľkým informačným systémom, v ktorom bude prepojené kompletne všetko a to s cieľom zlepšiť kvalitu života, priniesť nové obchodné príležitosti a obchodné modely. Nové príležitosti so sebou často krát prinášajú aj nové riziká a inak tomu nie je ani v tomto prípade. Množstvo zariadení v kombinácií s obrovským množstvom komunikovaných dát citlivého charakteru prináša so sebou mnoho bezpečnostných výziev.

Predstavte si  Smart domácnosť. Určite ste v TV videli reklamu, kde hlavnú rolu hrá smart televízor, chladnička, kávovar, práčka, video vrátnik, vysávač …. jednoducho každý domáci spotrebič. Všetky tieto spotrebiče sú navzájom poprepájané a vám stačí jediná aplikácia, pomocou ktorej ich viete pohodlne ovládať hoci aj z auta cestou domov. V ideálnom prípade spotrebiče jednoducho poprepájané tak, že pomocou otvárania garážovej brány viete deaktivovať celý bezpečnostný systém. Situáciu, keď sa útočníkom podarí „prekonať“ otváranie garážovej brány, vám asi nemusím opisovať.

August 2016, Mirai Botnet DDoS útok spôsobil napadnutie niekoľko tisíc zariadení na nahrávanie hudby s Internetu. O rok neskôr bol rovnaký typ útoku zacielený na kardiostimulátory, výsledkom čoho bolo stiahnutie 500 tisíc kardiostimulátorov z trhu z dôvodnej obavy útokov na pacientov. Mirai infikuje zle chránené zariadenia pripojené k internetu. Pomocou služby telnet vyhľadáva ďalšie, ktoré používajú svoje defaultné používateľské meno a heslo. Vysoká účinnosť Mirai DDoS útokov je spôsobená jeho schopnosťou infikovať desiatky tisíc nezabezpečených zariadení a koordinovať ich.

Je nespochybniteľné, že smart zariadenia a IoT technológie nám už dnes uľahčujú a určite budú uľahčovať náš každodenný život. Namieste je však aj otázka, či tempo, ktorým vznikajú denno denne nové a nové zariadenia s vylepšenými funkcionalitami je totožné s tempom vývoja bezpečnosti takýchto zariadení. Je potrebné si uvedomiť, že vo svete kde je prepojené doslova všetko (prepojené autá, lietadlá, domáce spotrebiče, industriálne systémy alebo liečebné pomôcky) bude najslabší článok v  bezpečnostnej schéme poskytovať hackerom možnosť neobmedzene ovládať milióny zariadení a ohrozovať tak život ľudí alebo v lepšom prípade samotné zariadenia a budovy. Posledné útoky na zariadenia tohto zvýšili záujem bezpečnostných analytikov a zdôraznili potrebu sledovať a zaujímať sa o zraniteľnosti zariadení tohto typu a to z prostých dôvodov – elementárna bezpečnosť ľudí, súkromie a ekonomické riziko. Napriek zvýšenému záujmu o kybernetickú bezpečnosť IoT a smart zariadení však komplexný pohľad na túto problematiku neexistuje.

Na základe našich skúseností sa domnievame, že najväčšími výzvami kybernetickej bezpečnosti budú nasledovné oblasti:

Core systémy

Cieľom hackera nie je samotné zariadenie, ktoré je síce chránené, avšak pomer vynaloženého úsilia a získaných dát je nepostačujúci. Sú to práve aplikácia a riadiace systémy, ktoré zbierajú, spracúvajú a riadia dáta zo všetkých týchto zariadení. Ovládnuť a zastaviť jedno nákladné vozidlo je nič v porovnaní s preniknutím do databázy konkurencie s možnosťou meniť logistické dáta v jej neprospech.

Súkromie

Najväčším rozdielom medzi bežnými zariadeniami  a IoT zariadeniami je, že používatelia si neuvedomujú, že ich nová práčka, kanvica alebo chladnička je vlastne počítač. IoT spája fyzický a digitálny svet a z toho pramení azda najväčšie riziko. Informácia o tom, kedy chodí používateľ zariadenia do chladničky, kedy chodí behať, kedy zapína kanvicu sú informácie, ktoré nemusia byť citlivé „per se“, avšak v kombinácii s údajmi z iných zariadení môžu odhaliť informácie, ako napríklad životný model spotrebiteľa, ktorý môže sú veľmi škodlivé, ak padnú do rúk nesprávnych ľudí. V mnohých prípadoch zločinci ani nepotrebujú zachytiť vaše šifrované komunikácie, na to aby získali informácie, ktoré potrebujú.

Bezpečnosť na prvom mieste

Hacknutie IoT zariadení nevyžaduje žiadne špecifické zručnosti. Mnoho firiem rieši v prvom rade to, ako dostať svoj produkt na trh a bezpečnosť vníma ako nasledujúci krok. Chyba! Problémy s bezpečnosťou v IoT zariadeniach počnúc inteligentným osvetlením až po kardiostimulátory, som už spomínal a bohužiaľ mali jedno spoločné – bezpečnosť bola vnímaná ako druhoradý krok. Regulačné orgány v mnohých krajinách sa nedostatočnú bezpečnosť IoT sveta snažia dohnať reguláciami, ale je potrebné robiť viac.  Bezpečnosť a jej best practices musi byť vnímané a chápane už od počiatočných fáz vývoja produktu. Až následne môže byť produkt umiestnený na trh.

Jednoduchosť vs. bezpečnosť

Mnohí bezpečnostní odborníci často chybne predpokladajú, že zariadenia IoT sú odlišné a hlavne, že sú pre hackerov menej zaujímavé ako štandardné počítače a sofistikované systémy. Pravdou je, že IoT zariadenia nepoužívajú bežné operačné systémy a rovnako nepodporujú štandardné bezpečnostné technológie kvôli nedostatku pamäti. Navyše väčšina z týchto zariadení nepodporuje inštaláciu nového firmwaru a teda patchovanie bezpečnostných chýb. Súčasné skúsenosti hackerov sú enormné a teda na prelomenie bezpečnosti IoT zariadení postačuje minimálne úsilie a čas.

Konektivita

Jednou z najväčších výziev budúcnosti internetu vecí je prepojenie obrovského množstva zariadení. Štruktúrou súčasných komunikačných modelov a základných technológií budú podľa nášho názoru nevyhovujúce, pretože základ tvorí centralizovaná server/ klient paradigma pomocou ktorej sa autentifikujú, autorizujú a pripájajú uzly v sieti. Tento model je postačujúci pre súčasné systémy, kde hovoríme o desiatkách, stovkách resp. tisícoch zariadení. IoT je však fenomén, ktorý hovorí o zapojení desiatok, stoviek respektíve miliárd zariadení. A tu nastáva problém, ktorý bude potrebné riešiť pretože tieto systémy si budú vyžadovať obrovské investície na údržbu cloudových serverov na to, aby zvládli také obrovské množstvo informácií.

Budúcnosťou je decentralizácia tzv. fog computing modelov. V takomto modely budú inteligentné IoT hubs riešiť kritické operácie a cloudové servery naopak zhromažďovanie údajov a analytiku. Ďalším riešením je typ peer-to-peer komunikácia kde identifikácia a autentifikácia prebieha priamo medzi zariadeniami. Sieť je tak zložená z tzv. mesh-ov alebo ôk, bez možnosti zlyhania v jednom centralizovanom bode. Tento model ma svoje muchy a tie spočívajú hlavne v bezpečnosti,  ale dajú sa riešiť novými protokolmi ako napríklad Phantom protokol alebo využitím blockchainu.


Clouds
chránime Vaše hodnoty

Aktuality

Contact
Kontaktné informácie

Sídlo spoločnosti

Na mape

V prípade záujmu o bližšie informácie alebo v prípade potreby produktovej podpory kontaktujte nás prosím cez tento formulár.