Bezpečnost Internetu věcí
- Úvod
Internet věcí (zkratka IoT) se před pár lety zdál jako sci-fi, ale dnes se stává samozřejmostí pro stále více lidí. O internetu věcí se stále více mluví a píše, týká se téměř všech oborů lidské činnosti a je tedy rozsáhlý. Definice podle říká: síť propojených objektů (věcí), které jsou jednoznačně adresovatelné s tím, že tato síť je založena na standardizovaných komunikačních protokolech umožňující výměnu a sdílení dat a informací, jejichž analýzou bude možné docílit vyšší přidané hodnoty. [1] To tedy znamená, že IoT je síť jednotlivých zařízení, vybavena elektronikou, softwarem, senzory a síťovou konektivitou, která umožňuje těmto zařízením se propojit a vyměňovat si data.
Termín Internet of Things poprvé použil Kevin Ashton z Protect & Gamble v roce 1999. Nejdříve se připojili do sítě počítače, pak se přidali chytré telefony a tablety.
Nyní se dají připojit domácí spotřebiče, vozidla a zařízení ve městech. V rámci IoT vznikli 2 hlavní směry: průmyslový a spotřebitelský. Mezi průmyslové aplikace patří např.: průmyslová automatizace, dopravní průmysl (kontrola kvality přepravy, sledování a lokalizace zásilek), energetický průmysl (monitorování a řízení spotřeby energie), zdravotnictví (sledování stavu pacientů) a chytrá města. Smart City je koncept, který využívá digitální, informační a komunikační technologie pro zvýšení kvality života ve městech. Zaměřuje se na efektivní využívání stávajících a hledání nových zdrojů, snižování spotřeby energií, eliminaci zátěží životního prostředí, optimalizaci dopravy a sdílení dat pro veřejné účely. Mezi nejchytřejší města patří Barcelona, Chicago, Amsterodam, Vídeň a další. Cílem smart cities je např.: snadnější parkování, omezení dopravních zácp, inteligentní osvětlení, energeticky chytré budovy.
Lidé podle serveru Gartner [2] se v roce 2017 připojí o 31 % více zařízení než v roce 2016, tedy 8,4 miliardy připojených věcí. Do roku 2020 dosáhne 20,4 miliardy připojených věcí. Cisco dokonce uvádí až 50 miliard. Čína, Severní Amerika a západní Evropa dohromady představují 67 % z celkového počtu zařízení.
2. Zabezpečení
Vývoj nových technologií s sebou přináší nová rizika a požadavky na bezpečnost a ochranu svých osobních dat. Více zařízení online znamená více zařízení, která potřebují ochranu a zabezpečení. Internet of Things nemusí být pro hackery jen další nový způsob, jak ukrást naše data nebo osobní údaje. Potenciální útočník si může zjistit kolikrát otevřete mikrovlnku, ledničku nebo zda vůbec zapnete televizi. Následně může reklamu zacílit přímo na vás. Něco jiného tak v komerční přestávce uvidí zamilovaný pár, něco jiného pak matka za žehlícím prknem.
Vzestup internetu věcí již vyvolal obavy o soukromí: nyní se bezpečnostní pracovníci obávají, že špatně nakonfigurované gadgety mohou poskytnout backdoor pro hackery, kteří chtějí proniknout do podnikových sítí.
3. Internetové hrozby
Mnoho věcí je nyní propojeno s internetem. Vzhledem k tomu, že se řada objektů stává součástí propojeného prostředí, musíme uvažovat o tom, že tato zařízení ztratily fyzickou bezpečnost, protože budou umístěna v internetovém prostředí, okamžitě přístupném jedinci, který je nejvíce motivován k manipulaci s ovládacími prvky. Útočníci mohou potenciálně zachytit, přečíst nebo změnit data. Mohly by tam manipulovat s řídicími systémy a měnit funkčnost.
Nejde jen o teoretické scénáře. Jsou známi případy, kdy se hackeři nabourali do systémů dvou vozů a bezdrátově zablokovali brzdy, vypnuli světla a zabrzdili, úplně mimo ovládání řidiče. V jiném případě byla luxusní jachta odváděna z kurzu, hackeři změnili GPS signál, který byl používán pro navigaci. [3]
Je rozdíl mezi tím, jestli někdo použije váš chytrý zámek ke zjištění, jestli je někdo doma, a tím, když útočník může zámek odemknout a dveře otevřít, nebo, ještě hůře, když vám dokáže znemožnit dveře otevřít.
Bruce Schneier říká, že útočníci mohou s daty dělat tři zásadní věci — krást je, měnit je nebo zabraňovat vlastníkům v přístupu k nim. [4] Právě poslední dva druhy útoků se s příchodem IoT mohou podle Schneiera stát extrémně účinné.
Klasická informační bezpečnost je trojice: důvěrnost, integrita a dostupnost. V podstatě tři věci, které mohou s vašimi daty dělat, je ukrást data (důvěrnost), upravovat (integritu) nebo zabránit tomu, abyste se k nim dostali (dostupnost).
Zvýšená rizika přicházejí ze tří věcí: softwarová kontrola systémů, propojení mezi systémy a automatické nebo autonomní systémy.
3.1 Softwarová kontrola systémů
Internet věcí je přeměnou všech věcí na počítač. To nám dává obrovskou sílu a flexibilitu, ale přináší to s sebou i nejistotu. Jelikož stále více věcí spadá pod kontrolu softwaru, stávají se zranitelnými všemi útoky, které mohou nastat proti počítačům. Věci jsou často buď levné nebo dlouhodobé (chladničky, termostaty, …), mnoho opravených a aktualizovaných systémů, které pracují s počítači a smartphony, nebudou fungovat. Zabezpečení, které přichází s výměnou počítače a smartphonu každých několik let, nebude fungovat s vaší chladničkou a termostatem: v průměru vyměňujete starou chladničku každých 15 let a termostat přibližně nikdy. Nedávný průzkum v Princetonu našel na internetu 500 000 nezabezpečených zařízení. Toto číslo bude rychle stoupat.
3.2 Propojení mezi systémy
Systémy jsou vzájemně propojené a pokud je veden útok proti jednomu systému, díky zranitelnosti mohou být ohroženy i další systémy. Internet věcí bude mnohem častěji zneužíván svou zranitelností. Pokud se vzájemně propojí 100 systémů, je to asi 5 000 interakcí a 5 000 možných zranitelných míst vyplývajících z těchto interakcí. Pokud se vzájemně propojí 300 systémů, je to 45 000 interakcí. 1000 systémů: 12,5 milionů interakcí. Většina z nich bude blahodárná nebo nezajímavá, ale některé z nich budou velmi škodlivé.
3.3 Automatické nebo autonomní systémy
Stále více jsou naše systémy autonomní. Nakupují a prodávají zásoby, regulují tok elektřiny přes síť a — v případě vozidel bez řidiče — automaticky pilotují více tunové vozy do svých cílů. Autonomie je skvělá pro všechny možné důvody, ale z bezpečnostního hlediska to znamená, že účinky útoků se mohou projevit okamžitě, automaticky a všudypřítomně. Čím více fungují tyto systémy bez lidí, rychlejší útoky mohou způsobit škody a tím více ztrácíme svou schopnost spolehnout se na skutečně chytré věci, abychom si všimli, že je něco špatně, než bude pozdě.
4. Co můžeme dělat?
Věci pro IoT jsou totiž často projektovány jako miniaturní, s nízkou spotřebou, levné… ale už nebývá dostatek kapacit a výkonu na “bezpečné”. Malé samostatné čidlo většinou obsahuje jen jednoduchý procesor, který zvládne číst data a posílat je ke zpracování, ale provádět složité matematické operace, potřebné pro šifrování, už je většinou mimo jeho možnosti. [5]
Bezpečnost prostředí je možné zvýšit pomocí bezpečnostních nástrojů, jako je šifrování dat, silná autentizace uživatelů, pružné kódování a standardizované a testované rozhraní API, které reagují na předvídatelné způsoby.
Dodavatelé, kteří poskytují technologie IoT, s největší pravděpodobností nevytvořili zabezpečení svých zařízení. V dlouhodobém horizontu by vedoucí pracovníci v oblasti IT a zabezpečení měli požadovat od dodavatelů, aby uvedli seznam zranitelných míst, které jsou v jejich zařízeních v procesu nákupu. [6]
Zabezpečení musí být postaveno jako základ pro systémy IoT s přísnými kontrolami platnosti, autentizací, ověřením dat a veškerá data musí být šifrována. Vzhledem k tomu, že systémy vzájemně spolupracují, je nezbytné mít dohodnutý standard interoperability, který je bezpečný a platný. Vytvořit bezpečnou internetovou komunikaci, která chrání naše soukromí, je těžké, ale není nemožné. [7]
5. Budoucnost
S příchodem internetu věcí a kybernetických systémů jsme obecně dali internetu ruce a nohy: schopnost přímo ovlivnit fyzický svět. Co kdysi bývaly útoky proti datům a informacím, se teď staly útoky na člověka, ocel a beton.
Dnešní hrozby zahrnují hackery, kteří způsobí havárii letadla hacknutím do počítačových sítí, a vzdáleně deaktivují auta, ať už jsou vypnuty a zaparkovány, nebo jedou rychle po dálnici. Máme obavy z manipulace hlasů z elektronických hlasovacích zařízení a vzdálené vraždy prostřednictvím hackovaných zdravotnických prostředků. Možnosti jsou doslova nekonečné. Internet věcí umožní útoky, které si teď ani nedokážeme představit.
Zdroje:
[1] ROUSE, Margaret. Internet of Things (IoT). In: IoT Agenda [online] 2016 [cit. 2017–12–1]. Dostupné z: http://internetofthingsagenda.techtarget.com/definition/Internet-of-Things-IoT
[2] Gartner Says 8.4 Billion Connected “Things” Will Be in Use in 2017, Up 31 Percent From 2016. In: Gartner.com [online]. Copyright © [cit. 2017–12–1]. Dostupné z: https://www.gartner.com/newsroom/id/3598917
[3] [6] [7] BANAFA, Ahmed. The Five Main Benefits of the Internet of Things. In: Datafloq.com [online]. Copyright © 2017 Datafloq 2017 [cit. 2017–12–1]. Dostupné z: https://datafloq.com/read/internet-of-things-iot-security-privacy-safety/948
[4] SCHNEIDER, Bruce. The Internet of Things Will Turn Large-Scale Hacks into real Worls Disasters. In: Motherboard [online]. 2016 [cit. 2017–12–1]. Dostupné z: https://motherboard.vice.com/en_us/article/qkjzwp/the-internet-of-things-will-cause-the-first-ever-large-scale-internet-disaster
[5] MALÝ, Martin. Senzory Martina Malého: Zákony IoT-iky. In: Lupa.cz [online]. 7.10.2015 [cit. 2017–12–1]. Dostupné z: https://www.lupa.cz/clanky/senzory-martina-maleho-zakony-iot-iky/
Titulní obrázek:
převzato z: Ways Internet of Things Will Change Businesses. In: Scylla Technologies. [online]. [cit. 2017–12–1]. Dostupné z: https://scyllatechnologies.com/blog/wp-content/uploads/2017/09/Internet-of-Things-IoT.jpg
