Bezpieczeństwo internetu rzeczy

W domach, firmach, w przestrzeni miejskiej na całym świecie znajdują się miliardy urządzeń podłączonych do sieci. Jeśli zagadnienia cyberbezpieczeństwa nie będą traktowane priorytetowo, internet rzeczy może stać się łatwym celem dla przestępców.

Wszyscy wiedzą, że Internet of Things (IoT) bardzo szybko się rozwija. Niestety, tylko garstka ludzi zdaje sobie sprawę, co to oznacza z punktu widzenia bezpieczeństwa – niezależnie czy mówimy o prywatnych domach, czy biznesie.

Popularyzacji inteligentnych urządzeń podłączonych do sieci towarzyszą prognozy dotyczące dalszego wzrostu – zdaniem IHS, ich liczba w latach 2015-2025 wzrośnie z 15,4 mld do 75,4 mld, natomiast General Electric szacuje, że inwestycje w sam IIoT (Industrial Internet of Things), czyli przemysłowy internet rzeczy, sięgną 60 bln USD w ciągu najbliższych 15 lat.

Zapanować nad zagrożeniami łączności

Zarówno zwykli ludzie, jak i przedsiębiorstwa wiążą z IoT duże nadzieje - ma przynieść znaczące korzyści oraz wzrost efektywności, ale w tej beczce miodu jest też łyżka dziegciu: bezpieczeństwo. Urządzenia tworzące internet rzeczy z natury są niewielkie, dysponują niewielką mocą obliczeniową, a przy tym nie mają żadnych lub co najwyżej niewielkie zabezpieczenia fizyczne. Są także często zlokalizowane w publicznej przestrzeni, do której dostęp ma wielu użytkowników. Tu pojawia się kolejne wyzwanie: kto ma prawo gromadzić, pobierać i używać dane zbierane w tych obszarach?

Pierwszym krokiem na drodze do zabezpieczenia IoT jest wbudowanie mechanizmów ochrony w urządzenia. Zbiór najlepszych praktyk w tym obszarze uwzględnia uniemożliwienie dokonywania modyfikacji oprogramowania i sprzętu, stworzenie bezpiecznych ścieżek aktualizacji firmware’u oraz szyfrowanie całej pamięci masowej albo przynajmniej sektora startowego.

Uwierzytelnianie i autoryzacja

Innym istotnym elementem warunkującym sukces IoT jest uwierzytelnianie. Urządzenia będą miały wielu użytkowników, ale ich niewielkie rozmiary i systemy operacyjne praktycznie wykluczają zastosowanie silnego szyfrowania. Niektóre propozycje dotyczące bezpieczeństwa IoT zapowiadają zmiany w uwierzytelnianiu w świecie internetu rzeczy.

„Dzisiejsze silne szyfrowanie i schematy uwierzytelniania bazują na pakietach kryptograficznych, takich jak AES (Advanced Encryption Suite), w zakresie transportu danych poufnych” - stwierdzono w dokumencie opisującym architekturę zaproponowaną przez Cisco. „Choć protokoły są niezawodne, to wymagają platformy posiadającej dużą moc obliczeniową, która może nie być obecna w przypadku wszystkich urządzeń podłączonych do IoT”.

„Te protokoły uwierzytelniania i autoryzacji wymagają także do pewnego stopnia interwencji użytkownika w zakresie konfiguracji i udostępniania. Niemniej, dostęp do wielu urządzeń IoT będzie ograniczony, przez co wstępna konfiguracja będzie musiała być zabezpieczona przed modyfikacją, kradzieżą czy innymi formami kompromitacji w całym cyklu użytkowania, który w wielu przypadkach będzie liczony w latach”.

Oczywiście, wciąż powstają nowe technologie i algorytmy. Przykładem może być kompaktowy algorytm SHA-3, który został przyjęty przez amerykański instytut NIST (National Institute of Standards and Technology) dla wbudowanych urządzeń inteligentnych.

Być może również dostawcy usług internetowych będą musieli przyjąć pewne obowiązki w zakresie zapewnienia bezpieczeństwa. Dysponują możliwościami blokowania i filtrowania niepożądanego ruchu. Przykładem może być standard BCP38, ale wiążą się z tym koszty. Dostawcy mogą także powiadamiać klientów, jeśli urządzenie w ich sieci zacznie generować podejrzany ruch, podobnie jak ma to miejsce w przypadku wykrywania nielegalnego współdzielenia plików.

Niemniej obydwie strategie są kontrowersyjne – blokowanie może przypadkowo zatrzymywać część regularnego, legalnego ruchu w sieci, a powiadamianie może wiązać się z działaniami w obszarze zarządzania siecią, które użytkownicy mogą uznać za zbyt inwazyjne. Co najważniejsze, obydwie wymagają kooperacji dostawców, a przynajmniej część z nich uważa, że bezpieczeństwo nie jest ich domeną.

Podłączenie całego naszego świata do internetu może potencjalnie przynieść ogromne korzyści, ale dopóki wszystkie podmioty nie wezmą na siebie zadań związanych z zapewnieniem bezpieczeństwa, dopóty IoT będzie raczej problemem, a nie rozwiązaniem.