Internet bezpiecznych rzeczy

Do 2025 r. co czwarty przeprowadzony na świecie cyberatak ma być wymierzony w sprzęt internetu rzeczy lub wykorzystywać istniejące w nim luki i podatności. Niestety, choć liczba urządzeń IoT już dziś idzie w miliardy, to poziom ich zabezpieczeń nadal pozostawia wiele do życzenia. Najwyższy czas na zmianę podejścia – i u producentów, i użytkowników.

Począwszy od elektroniki ubieralnej, przez rozwiązania smart home i moduły samochodowe, na urządzeniach medycznych i sterownikach w zakładach produkcyjnych kończąc – internet rzeczy to ogromna sieć urządzeń połączonych ze sobą online, których zadaniem jest inicjowanie określonych procesów bądź ich monitorowanie.

Liczba urządzeń tego typu, jakie dziś są podłączone do sieci, jest trudna do oszacowania, ale ci, którzy próbują się tego zadania podjąć, posługują się już miliardowymi rzędami wielkości. Przykładowo, dwa lata temu analitycy Gartnera uznali, że do końca 2020 r. na świecie będzie działać ok. 26 mld. takich urządzeń. Z innych statystyk wynika, że ten poziom został osiągnięty już w sierpniu 2019 r., a w tym roku wzrośnie do 31 mld.

Zobacz również:

Lawinowy wzrost liczby podłączonych urządzeń zwiększa powierzchnię ataku, tworząc nowe i nieprzewidziane wyzwania dla organizacji i osób odpowiedzialnych za ochronę infrastruktury – komentuje Przemysław Kania, dyrektor generalny Cisco w Polsce. „Atakujący mogą potencjalnie wykorzystać możliwość przejęcia kontroli nad urządzeniami IoT ze słabymi lub żadnymi zabezpieczeniami i budowanie w oparciu o nie potężnych botnetów. Mogą także przejąć kontrolę nad systemami przemysłowymi, które są często wykorzystywane do zarządzania krytyczną infrastrukturą” – przestrzega.

Grzech pierworodny

Cechą wspólną urządzeń IoT jest zasadniczo prosta budowa. Jednak niezależnie od tego czy są to urządzenia konsumenckie czy przemysłowe (na przykład kamery, sterowniki czy inteligentne systemy mierników), nie były i nadal nie są projektowane z myślą o cyfrowym bezpieczeństwie – ocenia Przemysław Kania.

„Często wykorzystują stare, nieuaktualniane systemy operacyjne lub po prostu nie udostępniają żadnej praktycznej możliwości ich aktualizacji. Dodatkowo, praktycznie nigdy nie są objęte kontrolą zespołów IT lub działów bezpieczeństwa”
– dodaje.

Ponadto sprzęt IoT jest zoptymalizowany pod kątem możliwie najmniejszego zużycia dostępnych zasobów sprzętowych, takich jak pamięć i moc obliczeniowa procesora, co ma przekładać się na minimalne zużycie energii. Takie założenia konstrukcyjne sprawiają, że urządzeniom IoT w ogóle brakuje zasobów do obsługi technologii zabezpieczających.

Tymczasem konsekwencje skutecznego ataku na infrastrukturę IoT mogą być znacznie poważniejsze, niż skutki tradycyjnych cyberataków. Nie mówimy już o stratach spowodowanych wyciekiem poufnych danych lub koniecznością opłacenia okupu za odszyfrowanie zasobów zablokowanych przez ransomware. W wyniku unieruchomienia lub uszkodzenia takich systemów ludzie mogą ucierpieć fizycznie.

Jak wskazuje Piotr Kupczyk, dyrektor biura komunikacji w Kaspersky Lab Polska, największym problemem związanym z bezpieczeństwem w kontekście urządzeń IoT jest fakt, że ciągle wiele z nich powstaje w modelu, który nie uwzględnia odpowiednich zabezpieczeń już na etapie projektowania. „Wiele z urządzeń posiada minimalne zabezpieczenia, a niektóre nie mają ich wcale” – podkreśla.

Oprócz tego wiele urządzeń stanowi konglomerat komponentów dostarczanych przez różnych producentów, gdzie o bezpieczeństwie całości decyduje najsłabszy element zestawu. Sytuacji na pewno nie poprawia mnogość różnych konfiguracji i systemów operacyjnych.

Można argumentować, że niczym nie różni się to od tradycyjnego IT – i tu mamy do czynienia ze złożonymi rozwiązaniami, bazującymi na technologiach różnych dostawców rozwiązań sprzętowych i software’owych. Tyle, że tu producenci przez lata wypracowali odpowiednie modele współpracy na rzecz lepszej ochrony swoich produktów. W dodatku firma, która kupuje dowolne rozwiązanie informatyczne, może liczyć na wieloletnie wsparcie techniczne producenta, w wypadku oprogramowania obejmujące na przykład aktualizacje i patche bezpieczeństwa.

Wreszcie, urządzenia IoT funkcjonują w innym środowisku, niż typowy sprzęt teleinformatyczny. Firmowy dział security, a przynajmniej administrator IT odpowiedzialny za cyberbezpieczeństwo, zadba o właściwą konfigurację systemów ochronnych, systematyczne aktualizacje oprogramowania na stacjach roboczych i przestrzeganie polityki bezpieczeństwa. A co z fabryką, gdzie o kimś takim, jak CSO albo o konserwacji prewencyjnej nikt jeszcze nie słyszał? (o smart home lepiej nie wspominać).

Będzie lepiej?

Ogólnie rzecz biorąc, poziom zabezpieczeń urządzeń IoT poprawia się, jednak jest daleki od wystarczającego – uważa Piotr Kupczyk. Aby można było mówić o bezpieczeństwie na należytym poziomie, musi ono być uwzględniane już na etapie projektowania sprzętu, a nie upychane na samym końcu. „Urządzenia IoT powinny być „cyberodporne" i minimalizować możliwość aktywowania na nich jakichkolwiek nieautoryzowanych procedur” – przypomina przedstawiciel Kaspersky Labs.

Można to osiągnąć chociażby poprzez stosowanie autorskich systemów operacyjnych działających w trybie domyślnej odmowy, zgodnie z którym uruchamiany może być wyłącznie kod dopuszczony przez producenta lub operatora sieci przemysłowej.

Właściwe zabezpieczenie infrastruktury IT wymaga działań zarówno po stronie dostawcy, jak i użytkownika. Przykładowo, producent urządzenia IoT musi zapewnić wsparcie techniczne w zakresie aktualizacji i patchy bezpieczeństwa i to na kilka lat. Łaty muszą być podpisane kryptograficznie na potrzeby weryfikacji i autoryzacji. Wszystkie kanały transmisji danych, którymi urządzenie odbiera i wysyła dane, muszą być zabezpieczone protokołami szyfrującymi, takimi jak SSL. Inne metody dostępu, na przykład telnet, powinny być wyłączone.

Wszystkie urządzenia IoT, może z wyjątkiem tych najprostszych, powinny zawierać wbudowaną zaporę sieciową przynajmniej o funkcjonalności ograniczającej komunikację tylko do zaufanych hostów i zdolnej do blokowania prostych ataków DDoS (ten wymóg można jednak spełnić korzystając z własnego, wewnętrznego firewalla, działającego już w obrębie sieci).

Warto też szukać takich rozwiązań, które obsługują wykrywanie włamań i rejestrację zdarzeń – dostęp do analizy logów może pozwolić przynajmniej ustalić, że doszło do próby włamania – oraz które można zintegrować z firmowymi systemami zarządzania bezpieczeństwem na poziomie API.

Stosowanie domyślnej nazwy użytkownika i hasła powinno być dozwolone tylko i wyłącznie na potrzeby konfiguracji, a uniemożliwione w standardowym trybie roboczym urządzenia. Zarządzanie urządzeniem powinno być możliwe wyłącznie po autoryzacji użytkownika. Ponadto w wypadku urządzeń, które muszą mieć dostęp do internetu, warto rozważyć przygotowanie dla nich oddzielnej podsieci, na kształt sieci dla gości – radzi Kupczyk.

„Większość nowoczesnych routerów daje taką możliwość i dzięki niej urządzenia IoT będą mogły swobodnie łączyć się z serwerami dostawców, przy jednoczesnej izolacji od sieci właściwej, w której np. funkcjonują komputery i smartfony” – dodaje. W środowiskach korporacyjnych i przemysłowych taka izolacja powinna być traktowana jako konieczność.


TOP 200