8 minute read
Bezpečnost IoT jako dlouhá cesta
Díky IoT může být prakticky každý aspekt našeho každodenního života neustále online. Máme u sebe nonstop chytrý telefon, na zápěstí chytré hodinky, doma chytré termostaty, žárovky, kamery, zrcadla, váhy, kávovary, lednice a přibývají další a další zařízení. V kancelářích máme chytré tiskárny, skenery i stoly. S pomocí těchto „chytrých“ pomocníků se nám usnadňuje řada činností, avšak málokdo si připouští, jaká s sebou tato zařízení přinášejí bezpečnostní rizika. Přichází éra nových hrozeb, na kterou spotřebitelé ani společnosti nejsou připraveni.
Obrovské množství propojených a připojených zařízení vnáší do našich soukromých i pracovních životů dosud nepoznaný komfort. Internet věcí je v podstatě jedna obrovská počítačová síť plná vzájemně propojených nebo k síti připojených zařízení, nicméně je tu zásadní rozdíl. IoT zařízení jsou na rozdíl od tradičních počítačů omezená ve své funkčnosti. Navrhují se a vytvářejí tak, aby byla jednoduchá a snadno nasaditelná a samozřejmě co nejlevnější, a mohla se tak masově rozšířit. Prostoru na důkladné zabezpečení je proto minimum, a čím více takových zařízení se připojuje k domácí nebo firemní síti, tím více ji činí zranitelnou. Podle odborníků pak největší riziko představuje kulminace více různorodých a nezabezpečených IoT prvků v síti – zatímco jedno rizikové zařízení nemusí napáchat tolik škody, řetězení více prvků může umožnit nezvaným hostům přístup hluboko do vnitřní sítě. Pojďme se podívat, jaká s sebou IoT prvky přinášejí rizika.
Výzva pro firmy
Zaměstnanci si zvykli na BYOD a také bez zaváhání k firemní síti (většinou k Wi-Fi) připojují další svá zařízení, která běžně používají, čímž dali vzniknout tzv. „shadow IT“. Součástí firemní sítě se stávají prvky, které zde dřív nebyly a firmy je do své komplexní bezpečnostní strategie zkrátka primárně nezahrnují a nepočítají s nimi ani mnohé konvenční ochranné nástroje.
Dlouho už bezpečnostní odborníci upozorňují například na oblíbené multifunkční tiskárny. Moderní tiskárny jsou díky svým funkcím a možnostem pro zaměstnance vítaným pomocníkem – mohou si přes ně posílat přes internet naskenované dokumenty, ukládat data na cloudové úložiště, vzdáleně tisknout a podobně. Jenže ze stejného důvodu jsou pro firmy značným bezpečnostním rizikem. Zkrátka zařízení, která byla historicky ve firmách přítomna a nikdo je nepovažoval za jakkoliv zneužitelná nebo nebezpečná, se nenápadně transformovala na reálné hrozby. Na druhé straně jsou kyberzločinci, organizované skupiny i jednotlivci, kteří mají daleko lepší přehled o tom, co všechno se nyní stává dostupným a zneužitelným a jak na tom mohou vydělat. Velkým trendem posledních let se například stalo zneužívání hacknutých IoT zařízení na vytváření botnetů, jako je nechvalně proslulý Mirai. Situaci také ztěžuje organizovanost a kreativita hackerů, kteří vytvářejí a sdílejí funkční nástroje, takže kyberzločincem se může stát snadno a rychle prakticky kdokoliv. A díky tomu, že stále exponenciálně narůstá množství připojených zařízení, mají útočníci neomezené možnosti. Například čím více zařízení, tím mohutnější botnety a tím masivnější DDoS útok.
A co na to firmy? Přístup k IoT bezpečnosti by se dal velice stručně označit jako liknavý. Málokdo si připouští reálná rizika, a to až do chvíle, kdy dojde k nějakému závažnému incidentu. Ostatně podobně se firmy stavěly (a mnohé dodnes staví) k bezpečnosti chytrých telefonů. Je však zapotřebí si uvědomit, že začít s důkladnou ochranou a snahou minimalizovat rizika už v raných fázích je naprosto klíčovým předpokladem k udržení a budoucímu rozvoji celého byznysu. Sice začínají i samotní výrobci reagovat na zvyšující se požadavky a standardy, nicméně spoléhat na „defaultní“ nastavení a základní bezpečnostní opatření výrobce nebude v dnešní době ani v blízké budoucnosti stačit.
Jedno s druhým
Zkrátka a jednoduše kombinace nedostatečně zabezpečených zařízení a perfektně připravených a vybavených kyberzločinců je dobrým důvodem k obavám – prostor pro útoky se kvůli shadow IT rapidně zvětšil a stále roste. Řada firem ale s touto „položkou“ nepočítala a nemá rozpočet ani lidi na to, aby se s tím adekvátně vypořádala. Upřímně, v řadě firem nemá vedení ani potuchy o tom, co všechno se k firemní síti připojuje.
A dalším donekonečna omílaným tématem je v této souvislosti také patch management. Hodinky, tablety, sluchátka a další zařízení, která zaměstnanci připojují do firemní sítě, často nemají nainstalované poslední aktualizace (ať už firmwaru, operačního systému, nebo jednotlivých aplikací), protože běžní uživatelé prostě nemají ve svém denním itineráři, aby pro jistotu zkontrolovali aktuálnost veškerého softwaru, který používají. Řada elektroniky má v základním nastavení sice automatické aktualizace, dokonce jsou i plánovány tak, aby uživatele nerušily nebo neobtěžovaly při běžném používání, nicméně stále jsou i tací, kteří si dají tu práci a veškeré updatování manuálně zakážou. Firemní síť následně vypadá takto: na jedné straně (v ideálním případě) jsou přísně kontrolované a pravidelně aktualizované servery a pracovní stanice, které jsou chráněny pokročilým bezpečnostním řešením, a v té samé síti operují zařízení se starým systémem bez bezpečnostních aktualizací a s rizikovými aplikacemi.
Samozřejmě nejjednodušším prvním krokem by mělo být zajištění firemní sítě tak, aby primárně docházelo ke kontrole IoT zařízení, kterým povoluje se připojit – čili mělo by dojít k ověření, zda jde o zařízení, které sbírá nebo agreguje data, jestli se dá přes konkrétní zařízení připojit do celé sítě, kdo je vlastníkem zařízení, zda může vidět nebo stahovat data ze sítě… V ideálním případě pak dovolit těmto zařízením přístup pouze do sítě vyhrazené pro návštěvníky. Jenže v praxi se tento postup zatím nestal standardem, bohužel.
Role výrobců
Jak už bylo uvedeno výše, také výrobci se snaží o to, aby byla jejich zařízení bezpečnější. Jde o důsledek tlaků na trhu i různých právních úprav a regulací. Stále je však prioritou výrobců produkovat IoT zařízení, která se snadno používají, jsou jednoduchá na obsluhu i nasazení a jsou cenově dostupná. I v této oblasti najdeme dvě kategorie výrobců. Tou první jsou tzv. „white label“ výrobci, kteří prodávají anonymní zařízení dalším firmám – ty je následně uvádějí na trh jako svoje produkty. Tato zařízení jsou podle expertů nejrizikovější, jelikož je často složité „vystopovat“ zpětně původního výrobce, když je objevena nějaká slabina.
Druhou kategorií výrobců jsou technologické společnosti, které se zabývají rozvojem bezpečnostních prvků u svých produktů a reagují na zjištěné zranitelnosti. Tito výrobci jsou podle odborníků lépe připraveni zahrnout do své produkce zvyšující se požadavky, jelikož je v sázce jejich dobré jméno, a navíc mají také potřebné zdroje na rozdíl od výše zmíněných white labelů.
Výrobci si začínají uvědomovat, že se bezpečnost stává jedním z kritických prvků, který se promítá do vývoje, výroby a vliv má také na uvedení na trh. Jejich snahy však nelze označit za adekvátní situaci, což ale vede federální a státní regulátory k vytváření doporučení a pravidel, naštěstí pro spotřebitele.
Regulace v praxi
Abychom byli konkrétní, uvedeme pár příkladů regulací a pravidel, která v případě IoT zařízení některé státy zavedly, zavádějí nebo se chystají zavést. Například kalifornský IoT Device Security Act, který by měl platit od letošního roku, vyžaduje, aby výrobci vybavili své produkty „rozumnými bezpečnostními opatřeními“ v závislosti na povaze nebo funkci zařízení. Také by měl účel zařízení jasně vymezovat, jaká data může zařízení sbírat, uchovávat nebo přenášet. Zařízení by mělo být konstruováno tak, aby bylo ono samo i data, se kterými operuje, chráněna před neautorizovaným přístupem, zničením, zneužitím, úpravou nebo zveřejněním. Pokud připojené zařízení vyžaduje autentifikaci mimo lokální síť, zákon uvádí, že je považováno za bezpečnostní opatření, pokud je přednastavené heslo unikátní pro každé jednotlivé zařízení a samotné zařízení vyžaduje, aby byly vytvořeny nové přihlašovací údaje od uživatele předtím, než mu je udělen přístup. Nicméně zákon úplně nespecifikuje, jak se „rozumné bezpečnostní opatření“ liší v závislosti na konkrétním produktu nebo jak bude zákon vynucován.
National Institute of Standards and Technology vydal detailní doporučení pro kyberbezpečnostní prvky, které by měla dodržovat zařízení schopná připojit se k internetu. Je sem například zahrnuta identifikace zařízení pro připojení do sítě, konfigurace zařízení umožňující volbu změnit software nebo firmware, ochrana uložených informací i těch posílaných přes síť, omezený přístup k lokálním i síťovým rozhraním, aktualizovatelný software a firmware a přístup k logům.
Podobná opatření stanovuje i britský kodex (Code of Practice for Consumer IoT Security), který uvádí podrobná doporučení, jak zajistit bezpečnost internetu věcí pro výrobce a další průmyslové subjekty. Velký důraz je položen na první směrnici, kde se uvádí, že defaultní hesla IoT prvků musejí být jedinečná, přičemž zařízení nelze resetovat na jakoukoliv univerzální výchozí hodnotu – čili žádný factory reset. Kodex se také zabývá včasnými bezpečnostními aktualizacemi, bezpečným uchováváním přihlašovacích údajů, přičemž nedoporučuje „natvrdo“ uložené přihlašovací údaje a hodně apeluje na šifrovaný přenos citlivých informací.
Dalším krokem, který má jít vstříc zvýšení bezpečnosti IoT prvků, je bezpečnostní rating nezávislé certifikační společnosti UL. Její hodnoticí proces zvažuje kritické bezpečnostní aspekty připojených zařízení, jako je schopnost čelit obvyklým útokům a známým zranitelnostem, čímž vzniká jakási „základní bezpečnostní úroveň“ pro spotřebitele. Důvodem vzniku ratingu UL bylo podle vyjádření společnosti motivovat výrobce k tomu, aby do svých produktů zabudovali i bezpečnostní prvky a očekávání, že spotřebitelé budou vyžadovat zabezpečené produkty na úkor zmíněných white labelů. Samozřejmě že se zabudování bezpečnostních prvků promítne i do nákladů na výrobu a do ceny. Nicméně podle Andrewa Jamiesona, ředitele pro bezpečnost a technologie v UL, se může stát bezpečnostní rating stejně důležitým a pro spotřebitele rozhodujícím ukazatelem, jako jsou energetické štítky na elektronice a dalších zařízeních. Zkrátka jednoduchým a srozumitelným způsobem tato hodnota ukáže, proč je určitý produkt o něco dražší – stejně jako u elektroniky, kde spotřebitel zvolí energeticky efektivnější zboží, zvolí podle Jamiesona i u IoT dražší, ale zato bezpečnější řešení. Bezpečnostní rating se bude také lišit v závislosti na rizikovosti zařízení – jiný bude v případě nízkorizikových prvků, jako jsou žárovky, a u vysoce rizikových produktů, jako jsou například bezdrátové a IP kamery.
Budoucnost blízká a nedaleká
Jsme na prahu velkých změn, přichází éra, kdy bude čím dál častěji docházet ke zneužívání a útokům souvisejícím s IoT prvky – a to i s těmi, které jsou součástí zdravotnických pomůcek nebo průmyslových ovládacích systémů. Podle odborníků na bezpečnost přichází nová generace útoků, která se přímo zaměřuje na IoT a automatizaci. Odborníci proto vyzývají, aby průmyslové organizace také sdílely své zkušenosti napříč vertikálami, což podle nich pomůže k lepší přípravě na tyto útoky. Sdílení zkušeností a informací je podle bezpečnostních odborníků jedním z klíčů k tomu, jak obstát proti stále důmyslnějším a ničivějším útokům. Očekává se také, že budou rovněž vznikat další iniciativy ze strany států a federálních agentur, které se budou týkat bezpečnosti IoT. Jak se reálně podepíšou na úrovni ochrany, to teprve uvidíme.
