Jak budować bezpieczny świat IoT
Internet rzeczy zapewnia doskonałe możliwości w zakresie tworzenia wartości dla klientów. To przede wszystkim nowe modele biznesowe – zwłaszcza w połączeniu z łącznością 5G. Ale ciągle wyzwaniem pozostaje bezpieczeństwo IoT. Co jest kluczowe, jeśli chcemy nie tylko rozwijać biznes IoT, ale też mieć pewność, że jest on możliwie najbardziej bezpieczny?

Internet rzeczy (IoT - Internet of Things) rozwija się już w zasadzie wykładniczo. Według Fortune Business Insights, wskaźnik CAGR (skumulowany roczny wskaźnik wzrostu) dla rynku IoT wyniesie 25,4% do 2028 r. I tak, kiedy w 2021 r. sektor ten był wart łącznie 381 mld dol., w 2028 r. powinien osiągnąć kapitalizację na poziomie 1,8 bln dol. Wraz z IoT rozwija się cały sektor czujników oraz 5G, zapewniając firmom dostęp do nowych modeli biznesowych i szans tworzenia wartości.
Już teraz ogromna liczba urządzeń IoT, które łączą się i komunikują ze sobą, zapewnia nowe operacje biznesowe, a dodatkowo bardzo wysoką wydajność. Wiele firm zdaje już sobie sprawę, że IoT ma coraz większy wpływ na rynek – zwłaszcza w kontekście pracy z danymi.
Zobacz również:
- Startupy IoT wypełniają luki w zabezpieczeniach
- HPE Aruba Networking poszerza ofertę z obszaru bezpieczeństwa i sieci dla MŚP
- Najnowsze cyberataki a dzisiejsze wyzwania w skutecznej cyberochronie przedsiębiorstw
Aby jednak czerpać korzyści z IoT trzeba wcześniej uporać się z piętą achillesową tych rozwiązań, czyli problemem bezpieczeństwa czujników i całych sieci. Na co zwrócić uwagę, gdy chcemy stworzyć i rozwijać smart infrastrukturę Internetu rzeczy?
Bezpieczeństwo IoT to duże wyzwanie
Aby zrozumieć jak zabezpieczyć systemy IoT, konieczne jest zbadanie potencjalnych zagrożeń. Co trzeba wiedzieć w kontekście IoT, jeśli chodzi o cyberbezpieczeństwo? Jest kilka wyzwań, z którymi specjaliści ds. bezpieczeństwa muszą sobie radzić.
Najważniejszym z nich są luki w oprogramowaniu firmware, jak i samych aplikacji do obsługi danego sprzętu. Wiele systemów IoT ma luki w zabezpieczeniach, które dotyczą oprogramowania, ale wynika to niekoniecznie z nieuwagi developerów. Warto wiedzieć, że sporo smart urządzeń ma ograniczone zasoby i moc obliczeniową. To sprawia, że nie mogą uruchamiać rozbudowanych funkcji bezpieczeństwa. Luki w zabezpieczeniach sieci IoT powstają z powodów takich jak:
- Brak wystarczającej mocy obliczeniowej dla wydajnych, wbudowanych zabezpieczeń
- Niedopracowana kontrola dostępu w systemach IoT (m.in. nadawanie uprawnień)
- Ograniczony budżet na prawidłowe testowanie i poprawę bezpieczeństwa oprogramowania dla urządzeń IoT
- Brak regularnych poprawek i aktualizacji oprogramowania ze względu na kwestie budżetowe i ograniczenia techniczne
- Użytkownicy często nie mogą na własną rękę przeprowadzać aktualizacji oprogramowania, co dodatkowo ogranicza łatanie luk
- Słaba ochrona przed atakami fizycznymi (np. hakowanie urządzenia za pomocą fal radiowych)
Cyberprzestępcy mogą wykorzystywać luki znalezione w danej sieci IoT, aby naruszać komunikację, instalować złośliwe oprogramowanie malware czy wykradać cenne dane. Przykładem może być atak na smart kamery Amazon Ring z 2020 r., który był możliwy, ponieważ producent stosował słabej jakości domyślne hasła, a klienci ich nie zmieniali po instalacji sprzętu. W rezultacie hakerzy mogli nawet zdalnie komunikować się z ofiarami za pomocą mikrofonu i głośników kamer.

Damian Safonow, Product Owner, Produkty Bezpieczeństwa IT
T-Mobile Polska S.A.
Kolejnym słabym ogniwem w sieciach IoT jest brak lub słabe mechanizmy bezpieczeństwa. Te bowiem były projektowane najczęściej z myślą o komputerach stacjonarnych i laptopach i są trudne do wdrożenia na urządzeniach IoT o ograniczonych zasobach. To powoduje, że jednym z popularnych zagrożeń jest możliwość ataku typu man-in-the-middle (MitM). Hakerzy mogą z łatwością przeprowadzać ataki MitM, aby złamać procedurę aktualizacji i przejąć kontrolę nad urządzeniem, jeśli nie korzysta ono z bezpiecznego szyfrowania i mechanizmów uwierzytelniania. Atakujący mogą nawet zainstalować złośliwe oprogramowanie lub zmienić funkcjonalność urządzenia. Warto dodać, że nawet jeśli nasze urządzenie nie padnie ofiarą ataku MitM, dane, które wymienia z innymi urządzeniami i systemami, nadal mogą zostać przechwycone przez cyberprzestępców, jeśli tylko są wysyłane w postaci niezaszyfrowanych wiadomości tekstowych.
Kilka zalecanych praktyk
Luki w zabezpieczeniach IoT są jak znak powitalny dla hakerów. Wiele firm dba o wysoki poziom bezpieczeństwa w przypadku komputerów czy smartfonów, ale z jakiegoś powodu ignoruje urządzenia wchodzące w skład sieci IoT. I tak, nawet z pozoru tak podstawowa czynność jak zmiana haseł dostępu, które domyślnie zwykle brzmią "admin" lub "12345", jest pomijana. Podstawową praktyką jest więc nie tylko zmiana domyślnego hasła, ale też polityka wymuszająca zmianę haseł np. co trzy miesiące. Same hasła warto natomiast przechowywać w bezpiecznym miejscu, np. menedżerze haseł, aby nie musieć ich zapisywać i przechowywać bezpośrednio na dysku.
Korzystając z sieci IoT upewnijmy się, że wszystkie urządzenia są chronione oraz mają aktualne oprogramowanie. To niezbędne w walce z zagrożeniami bezpieczeństwa IoT. Idąc dalej, uważajmy na spoofing (podszywanie się) tożsamości. Cyberprzestępcy są coraz sprytniejsi i często podszywają się pod pracowników poszczególnych firm. Wówczas, jeśli dana organizacja domyślnie akceptuje wszystkie połączenia ze służbowych komputerów (z domeny firmowej), może w ten sposób wpuścić do sieci hakera. Dobrym rozwiązaniem jest weryfikowanie wszystkich użytkowników oraz nadawanie uprawnień tylko tym osobom, które faktycznie potrzebują dostępu do konkretnych zasobów. Świetnym podejściem będzie stosowanie modelu zero trust.
Kolejnym zalecanym rozwiązaniem jest używanie szyfrowanych protokołów. Niewiele urządzeń korzysta z komunikacji szyfrowanej w ramach początkowej konfiguracji. Możliwe jest, że używają one standardowych protokołów, które komunikują się zwykłym tekstem, co ułatwia hakerom ich monitorowanie i wykrywanie słabości. W obecnych czasach kluczowe jest, aby cały ruch sieciowy korzystał z protokołu HTTPS, a także takich zabezpieczeń jak TLS (transport layer security), SFTP (Secure File Transfer Protocol) czy rozszerzeń zabezpieczeń DNS (DNS security extensions). Urządzenia IoT, które łączą się z aplikacjami mobilnymi, również powinny korzystać z szyfrowanych protokołów.