W świecie technologii od lat karierę robi termin “smart”, często w tym kontekście tłumaczony w Polsce jako „inteligentny” – mamy inteligentne zegarki, telefony, domy, klimatyzatory itp. Słowo „smart” służy podkreśleniu przewag tego sprzętu nad zwykłymi – „głupimi” urządzeniami, które nie są wyposażone w łączność sieciową, sensory i odpowiednie oprogramowanie. Problem tylko w tym, że jak pokazuje praktyka, to właśnie te „inteligentne” urządzenia w ogólnym rozrachunku okazują się najgłupsze – źle zabezpieczone, łatwe do złamania i wykorzystania w sposób niezgodny z intencjami producenta i użytkowników.

Problem jest realny – eksperci zwracają uwagę, że po fazie wstępnych zachwytów nad konceptem Internetu Rzeczy coraz częściej widzimy, że urządzenia wchodzące w skład takich ekosystemów mają liczne poważne luki w zabezpieczeniach… i to luki, które pojawiają się w takich obszarach życia/elementach infrastruktury, w których nigdy wcześniej nie odnotowywano problemów z bezpieczeństwem.

Zobacz również:

• 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem
• Startupy IoT wypełniają luki w zabezpieczeniach
• 5G to nie tylko smartfony - jakie technologie skorzystają?

“Generalnie, lepiej żeby jakie urządzenie nie było do niczego podłączone i pozostało dzięki temu bezpiecznie, niż gdyby miało być podłączone do sieci i niezabezpieczone. Bezpieczeństwo przede wszystkim, dopiero później łączność, a nigdy odwrotnie” – komentuje Rob Enderle, analityk z firmy Enderle Group.

Pomysłowe i bezsensowne

Firma +rehabstudio stworzyła jakiś czas temu satyryczną witrynę Internet of Useless Thing, na której celnie wypunktowywane są wszystkie absurdy dotyczące niektórych aspektów Internetu Rzeczy. Jej twórcy postawili sobie za cel wyszydzanie owczego pędu ku wyposażaniu wszelkich możliwych urządzeń w dostęp do Internetu oraz „inteligencję”, a w szczególności tych, które zupełnie tego nie potrzebują. Pomysł na stronę powstał podczas jednej z poprzednich edycji targów Consumer Electronics Show.

„Każdy producent miał wtedy w ofercie produkty z kategorii Internet of Things… które naprawdę były zupełnie bezsensowne i nie spełniały żadnej realnej funkcji” – mówi Tim Rogers, twórca +rehabstudio. Podtytuł jego strony brzmi “podłączone to nie to samo, co użyteczne”.

Rogers jako przykład takiego produktu pokazuje np… inteligentną zakładkę do książki, która po umieszczeniu w książce wysyła do chmury informację o tym, na której stronie ją umieszczono, a użytkownik może otrzymać stosowne powiadomienie SMS-em. „Zabawne i bezużyteczne” – mówi twórca +rehabstudio i dodaje, że choć witryna powstała jako zabawa podczas jednego z firmowych „hackatonów”, to jej zadaniem jest również podkreślenie kluczowych cech, które czynią produkt użytecznym: musi być m.in. pomysłowy i łatwy do wdrożenia, realnie pożyteczny, zaprojektowany dla ludzi, bezpieczny i godzien zaufania, a także innowacyjny.

Podstawowe ryzyko

Problem polega na tym, że kwestia “bezpieczeństwa i zaufania” jest tą, o której wiele firm działających w branży ewidentnie zapomina. Widać wyraźnie, że priorytetem jest jak najszybsze stworzenie produktu i „wypchnięcie” go na rynek, bez przemyślenia tego, jakie mogą być ewentualne konsekwencje nieprzemyślanego wdrożenia.

Przykładem niech będzie firma Chrysler, dla której owe konsekwencje były całkiem namacalne i przeliczalne na dolary. Dwaj specjaliści ds. bezpieczeństwa dowiedli w lipcu, że możliwie jest zdalne przejęcie kontroli nad oprogramowanie samochodu i potencjalne zagrożenie kierowcy i pasażerom. Efektem była wielka akcja serwisowa, w ramach której koncern musiał poprawić zabezpieczenia 1,4 mln pojazdów (m.in. Jeepa Cherokee). „To doskonały przykład sytuacji, w której producent ewidentnie nie pomyślał, jakie zagrożenia mogą wiązać się z zastosowaniem nowej technologii” mówi Rob Enderle.

„Oczywiście, to nie znaczy, że powinniśmy zrezygnować z instalowania w autach takich systemów – koniecznie jest jednak przemyślenie i podjęcie decyzji co do tego, które systemy powinny być podłączone do sieci, jakie zabezpieczenia wdrożyć itp. Jeśli ktoś włamie się do systemu audio, nie stanie się nic naprawdę groźnego, co najwyżej przestanie grać muzyka. Jeśli jednak ktoś uzyska dostęp do systemu sterującego elementami systemu jezdnego, to może to skończyć się śmiercią kierowcy” – dodaje analityk.

Transmisja z pokoju dziecka

Oczywiście, nie dotyczy to wyłącznie aut. Innym przykładem mogą być np. kamery monitorujące, wykorzystywane do zdalnego obserwowania dzieci. „Jeśli urządzenie takie nie będzie odpowiednio zabezpieczone, może się zdarzyć, że ktoś obcy i niepowołany będzie miał dostęp do obrazu z kamery. A tego chyba byśmy nie chcieli. Podobnie jest zresztą z systemami CCTV – właściciele firm z pewnością nie byliby zadowoleni z udostępniania w sieci streamu wideo z ich kamer” – wyjaśnia Enderle.

Zagrożeniem może być również przejęcie przez osobę niepowołaną kontroli nad czymś tak potencjalnie niegroźnym jak włącznik światła. „W wielkich obiektach przemysłowych oświetlenie wewnętrzne jest kluczowe dla bezpieczeństwa. Gdybyś ktoś o złych intencjach zaczął sterować światłem, mogłoby to oznaczać realne zagrożenie dla życia pracowników” – mówi Brian Chemel, współzałożyciel i CTO firmy Digital Lumens.

Wszystko to oznacza, że w każdej organizacji w dyskusjach dotyczących wdrożenia jakichkolwiek rozwiązań z dziedziny Internet of Things obowiązkowo powinien uczestniczyć CIO – jako ten, który potrafi najpełniej ocenić zarówno potencjał nowej technologii, jak i ewentualne zagrożenia związane z jej wdrożeniem. „Przy wdrażaniu jakichkolwiek urządzeń tego typu niezbędna jest ścisła współpraca z działem IT. Do tej pory to nie było standardową praktyką – myślenie o bezpieczeństwie nie było regułą. Teraz to powinno się zmienić” – podsumowuje Brian Chemel.