Internet rzeczy: 5 mitów dotyczących bezpieczeństwa i prywatności

Mit 3: Cyberbezpieczeństwo to dojrzała dziedzina nauki

Jeśli zdefiniujemy naukę jako część ludzkiej kultury, budowanej i rozwijanej za pomocą metod naukowych poprzez działalność badawczą, to nauka o cyberbezpieczeństwie nie przekroczyła jeszcze zasadniczo wieku niemowlęcego. Wiele aspektów cyberbezpieczeństwa pozostaje niezgłębionych, np. modelowania zachowania użytkownika w domenie cybernetycznej. Kluczowe znaczenie ma odpowiedź na pytanie o to, co wpływa na podejmowanie przez użytkownika dobrych lub złych decyzji w zakresie bezpieczeństwa i ochrony prywatności. A to dlatego, że człowiek jest zaangażowany praktycznie w każdym element internetu rzeczy – począwszy od projektowania, przez wdrażanie, obsługę, stosowanie, konserwację, użytkowanie, aż po likwidację.

Skoro człowiek stanowi integralną część internetu w ogóle i internetu rzeczy w szczególności, warto przeanalizować zachowanie użytkownika z naukowego punktu widzenia. Dotychczas nie opracowano jeszcze żadnych modeli popartych wynikami badań. Tymczasem, wartościowe mogłoby okazać się stworzenie modeli obrazujących m.in. procesy myślowe inżynierów podczas pracy nad opracowywaniem systemów, funkcjonowanie stworzonych przez człowieka instytucji w świecie opanowanym przez internet rzeczy, sposób myślenia przeciwników i ich zachowanie, możliwości ochrony dużych powierzchni potencjalnych ataków.

Zobacz również:

  • 5G - rozwój jeszcze przed nami, 6G - tuż tuż, za rogiem
  • Co trzecia firma w Polsce z cyberincydentem
  • Polacy bezrefleksyjnie ufają technologii?

Sporym wyzwaniem jest jednak fakt, że zachowanie człowieka nie ma jednej, zamkniętej i definitywnej postaci, jak np. modele matematyczne czy metody szyfrowania, które w ładnej i zamkniętej formie opisują problem i dostarczają rozwiązanie. Mimo to nauka może poradzić sobie z ludzkim zachowaniem, co pokazują dotychczasowe modele np. zachowań astronautów i pilotów, wykorzystywane do doskonalenia zabezpieczeń w statkach powietrznych i samolotach. Modelowaniem zachowania użytkowników od wielu lat zajmują się agencje marketingu cyfrowego, choć ich działania mogą budzić kontrowersje w odniesieniu do ochrony prywatności. Z kolei biolodzy zajmują się modelowaniem zachowania komórek. To jednak dość wąskie zastosowania. W szerszym kontekście, jakim jest codzienność człowieka korzystającego z osiągnięć internetu rzeczy, modelowanie zachowania użytkownika dopiero się zaczęło.

Mit 4: Zabezpieczenia IT sprawdzą się w internecie rzeczy

Takie twierdzenie wcale nie musi być mitem. W ramach programu cyberbezpieczeństwa, prowadzonego przez IEEE, opublikowano artykuł, w którym radzono, jak unikać 10 największych błędów w projektowaniu zabezpieczeń oprogramowania. Jak się okazuje, część tych porad można z powodzeniem odnieść do internetu rzeczy, choć nie w całości. Trafione są z pewności rady typu „korzystaj z mechanizmów uwierzytelniania, których nie można obejść ani zmanipulować”, „autoryzuj po uwierzytelnieniu”, „nigdy nie ufaj na 100%” itd.

Jednakże, z drugiej strony, nie wszystkie strategie bezpieczeństwa stosowane tradycyjnie w przypadku urządzeń sieciowych sprawdzą się w internecie rzeczy. Co to oznacza chociażby pod kątem aktualizacji oprogramowania urządzeń podłączonych do internetu rzeczy, które w przeciwieństwie do przemysłowych systemów sterowania, powinny być odświeżane średnio raz na miesiąc. Intensywna aktualizacja oprogramowania sprawia, że rozwiązania działające w środowisku komputerowym i infrastruktury IT niekonieczne sprawdzą się w internecie rzeczy.

Mit 5: Sektor prywatny nie jest w stanie samodzielnie sprostać wyzwaniom

Niestety, będzie musiał. Można jednak spodziewać się, że decydując o bezpieczeństwie i ochronie prywatności, podmioty prywatne będą jednocześnie ułatwiać wymianę informacji służących wspólnemu dobru. Ogromną rolę odgrywają tutaj mimo wszystko wytyczne polityczne i instytucje, takie jak stworzone w USA Federalna Administracja Lotnictwa (FAA), Narodowa Rada Bezpieczeństwa Transportu (NTSB) i inne organizacje, które zajmują się analizą zdarzeń i tworzeniem regulacji mających na celu ochronę interesu publicznego.

W tym kontekście, kluczowe znaczenie ma tworzenie elastycznych rozwiązań umożliwiających bezpieczną wymianę informacji, które służą do naukowej analizy zdarzeń z zakresu bezpieczeństwa i tworzenia sprawdzonych wytycznych pozwalających na uniknięcie takich zdarzeń w przyszłości. Chodzi tutaj zatem o generowanie i śledzenie informacji zwrotnych o dobrych praktykach umożliwiających naukowcom, przedsiębiorstwom i użytkownikom internetu rzeczy podejmowanie świadomych decyzji wpływających na ich bezpieczeństwo i ochronę ich prywatności.

Konieczne jest szerzenie wiedzy o zagadnieniach związanych z bezpieczeństwem i ochroną prywatności wśród osoby kształtujących politykę, aby chciały i mogły one wspólnie podejmować działania w celu sprostania wyzwaniom internetu rzeczy. Takie osoby muszą mieć świadomość obaw dotyczących bezpieczeństwa internetu i internetu rzeczy oraz ochrony prywatności, aby pomóc społeczeństwu w skutecznym wkroczeniu na to zupełnie obce terytorium.

Opracowano na podstawie artykułu Grega Shannona, zasiadającego w radzie IEEE Cybersecurity Initiative oraz dyrektora ds. naukowych w CERT Division, Carnegie Mellon University Software Engineering Institute opublikowanego w amerykańskim wydaniu CSO.


TOP 200