Wszyscy wiedzą, że Internet of Things (IoT) bardzo szybko się rozwija. Niestety, tylko garstka ludzi zdaje sobie sprawę, co to oznacza z punktu widzenia bezpieczeństwa – niezależnie czy mówimy o prywatnych domach, czy biznesie.

Popularyzacji inteligentnych urządzeń podłączonych do sieci towarzyszą prognozy dotyczące dalszego wzrostu – zdaniem IHS, ich liczba w latach 2015-2025 wzrośnie z 15,4 mld do 75,4 mld, natomiast General Electric szacuje, że inwestycje w sam IIoT (Industrial Internet of Things), czyli przemysłowy internet rzeczy, sięgną 60 bln USD w ciągu najbliższych 15 lat.

Zapanować nad zagrożeniami łączności

Zarówno zwykli ludzie, jak i przedsiębiorstwa wiążą z IoT duże nadzieje - ma przynieść znaczące korzyści oraz wzrost efektywności, ale w tej beczce miodu jest też łyżka dziegciu: bezpieczeństwo. Urządzenia tworzące internet rzeczy z natury są niewielkie, dysponują niewielką mocą obliczeniową, a przy tym nie mają żadnych lub co najwyżej niewielkie zabezpieczenia fizyczne. Są także często zlokalizowane w publicznej przestrzeni, do której dostęp ma wielu użytkowników. Tu pojawia się kolejne wyzwanie: kto ma prawo gromadzić, pobierać i używać dane zbierane w tych obszarach?

Pierwszym krokiem na drodze do zabezpieczenia IoT jest wbudowanie mechanizmów ochrony w urządzenia. Zbiór najlepszych praktyk w tym obszarze uwzględnia uniemożliwienie dokonywania modyfikacji oprogramowania i sprzętu, stworzenie bezpiecznych ścieżek aktualizacji firmware’u oraz szyfrowanie całej pamięci masowej albo przynajmniej sektora startowego.

Uwierzytelnianie i autoryzacja

Innym istotnym elementem warunkującym sukces IoT jest uwierzytelnianie. Urządzenia będą miały wielu użytkowników, ale ich niewielkie rozmiary i systemy operacyjne praktycznie wykluczają zastosowanie silnego szyfrowania. Niektóre propozycje dotyczące bezpieczeństwa IoT zapowiadają zmiany w uwierzytelnianiu w świecie internetu rzeczy.

„Dzisiejsze silne szyfrowanie i schematy uwierzytelniania bazują na pakietach kryptograficznych, takich jak AES (Advanced Encryption Suite), w zakresie transportu danych poufnych” - stwierdzono w dokumencie opisującym architekturę zaproponowaną przez Cisco. „Choć protokoły są niezawodne, to wymagają platformy posiadającej dużą moc obliczeniową, która może nie być obecna w przypadku wszystkich urządzeń podłączonych do IoT”.

„Te protokoły uwierzytelniania i autoryzacji wymagają także do pewnego stopnia interwencji użytkownika w zakresie konfiguracji i udostępniania. Niemniej, dostęp do wielu urządzeń IoT będzie ograniczony, przez co wstępna konfiguracja będzie musiała być zabezpieczona przed modyfikacją, kradzieżą czy innymi formami kompromitacji w całym cyklu użytkowania, który w wielu przypadkach będzie liczony w latach”.

Oczywiście, wciąż powstają nowe technologie i algorytmy. Przykładem może być kompaktowy algorytm SHA-3, który został przyjęty przez amerykański instytut NIST (National Institute of Standards and Technology) dla wbudowanych urządzeń inteligentnych.

Być może również dostawcy usług internetowych będą musieli przyjąć pewne obowiązki w zakresie zapewnienia bezpieczeństwa. Dysponują możliwościami blokowania i filtrowania niepożądanego ruchu. Przykładem może być standard BCP38, ale wiążą się z tym koszty. Dostawcy mogą także powiadamiać klientów, jeśli urządzenie w ich sieci zacznie generować podejrzany ruch, podobnie jak ma to miejsce w przypadku wykrywania nielegalnego współdzielenia plików.

Niemniej obydwie strategie są kontrowersyjne – blokowanie może przypadkowo zatrzymywać część regularnego, legalnego ruchu w sieci, a powiadamianie może wiązać się z działaniami w obszarze zarządzania siecią, które użytkownicy mogą uznać za zbyt inwazyjne. Co najważniejsze, obydwie wymagają kooperacji dostawców, a przynajmniej część z nich uważa, że bezpieczeństwo nie jest ich domeną.

Podłączenie całego naszego świata do internetu może potencjalnie przynieść ogromne korzyści, ale dopóki wszystkie podmioty nie wezmą na siebie zadań związanych z zapewnieniem bezpieczeństwa, dopóty IoT będzie raczej problemem, a nie rozwiązaniem.