Názory

Spotřebitelé budou hrát velkou roli v zabezpečení IoT

Byron Acohido, 13. května 2019

Pokud chceme jako spotřebitelé prosadit, aby výrobci nových IoT systémů mysleli na integrované zabezpečení, musíme vědět o nových rizicích a požadovat odpovídající ochranu soukromí a zabezpečení.

Řadu činností dnes provádíme intuitivně a podvědomě – každé ráno si čistíme zuby, při přecházení silnice se rozhlédneme na obě strany a při usednutí do auta se rovnou poutáme bezpečnostním pásem.

V nepříliš vzdálené budoucnosti se každý z nás bude muset dennodenně zamýšlet nad tím, jak kupujeme a používáme zařízení a služby internetu věcí.

A tato budoucnost se blíží mílovými kroky. Podrobná kontrola nad každým aspektem lidské společnosti začíná pomalu přecházet do rukou všudypřítomných digitálních senzorů, ze kterých plynou nekonečné datové toky do čím dál inteligentnějších strojových algoritmů.

Nástup internetu věcí je nezastavitelný. A přesto přehlížíme všechny ty hrozby pro soukromí a bezpečí, které se s ním pojí. Jako spotřebitelé a občané už nemůžeme dál strkat hlavy do písku, jak jsme to dělali počátkem tohoto století při nástupu internetu, který začal radikálně měnit tradiční pojetí bezpečnosti. Tentokrát je v sázce příliš mnoho. Podívejme se, co můžeme čekat:

Všudypřítomné připojení

Široké nasazení IoT systémů bude i nadále pokračovat. Podle analytické firmy Gartner, která se zaměřuje na technologie, se už na světě nachází víc IoT zařízení než lidských bytostí. Polovinu z 8,4 miliard IoT zařízení, která se v roce 2017 používala, tvořily běžné spotřebiče (např. chytré televizory, reproduktory, hodinky, dětské chůvičky či domácí termostaty). Zbytek tvořila zařízení jako chytré měřiče spotřeby či bezpečnostní kamery pro podniky a státní úřady.

IDC, další technologicky zaměřená analytická firma, předpovídá, že celosvětové výdaje na IoT v roce 2019 dosáhnou rekordních 745 miliard USD, tedy asi o 15,4 % více než 646 miliard USD utracených v roce 2018. Hlavním tahounem výdajů budou firmy v segmentech výroby, spotřebního průmyslu, dopravy a veřejných služeb.

Čím více dat IoT systémy posbírají a analyzují, tím jsou chytřejší a schopnější autonomního rozhodování. Podniky si od nich slibují vyšší provozní efektivitu.

Spotřebitelé zase potřebují být neustále online – bez spojení s rodinou, přáteli, prací či svými oblíbenými webovými službami se neobejdou.

Zločinci inovují

Hackeři se chopili příležitosti a velmi dobře si uvědomují, jak můžou tak velký počet připojených zařízení využívat ke svým úmyslům. Doposud neodhalená slabá místa IoT umožnila nebývale rozsáhlé útoky zneužívající internet věcí.

Jako příklady nové generace IoT botnetů, tvořených miliony infikovaných domácích routerů a bezpečnostních kamer, lze uvést Mirai či Reaper. Mirai se neustále vyvíjí a znásobuje, nehledě na to, že už je tomu dva roky, co jeho prvotní varianta infikovala domácí routery 1 milionu zákazníků firmy Deutsche Telekom. Výzkumní pracovníci Avastu nedávno publikovali informace o sedmi variantách Mirai, které nově objevili.

Router-vulnerability-1

Analytici z Avastu popsali, jak se kód Mirai postupným vývojem přeměnil na šablonovitý systém, pomocí něhož mohou začínající a nepříliš dovední hackeři až „směšně snadno“ vytvářet nové varianty. Díky tomu teď už každý škodlivě smýšlející uživatel dokáže vytvářet botnety založené na variantách Mirai, s jejichž pomocí může těžit kryptoměny, páchat DoS útoky či šířit malware.

Tím, že IoT zařízení přenášejí ohromné spousty osobních dat, přirozeně vznikají zcela nová a složitá bezpečnostní rizika. Kombinací dat posbíraných z IoT lze sestavovat neuvěřitelně přesné uživatelské profily, čehož lze jak využít, tak zneužít. Jedna nedávná studie popsala, jak lze pomocí analýzy hodnot ze zařízení v chytré domácnosti (například spotřeby energie, koncentrace oxidů uhlíku či změn vzdušné vlhkosti) určit, co měl dotyčný k večeři.

Nedostatečné integrované zabezpečení

Výrobci IoT zařízení a poskytovatelé IoT služeb se především snaží o to, aby chrlili na trh nové a neokoukané funkce. Integrované zabezpečení není v popředí jejich zájmu.

Řada IoT snímačů sbírá citlivá osobní a firemní data. Ta pak procházejí přes routery, které používají slabá hesla, případně nemají nastavená žádná hesla, a které nejsou jednotně aktualizovány na novější verzi firmwaru. Zároveň se nikdo nestará o šifrování těchto dat, ať už jsou někde uložená, nebo někam „cestují“.

Orgány pro standardizaci průmyslu a zákonodárci si uvědomují, co je v sázce. Britské Ministerstvo kultury, médií a sportu (DCMS) a Národní centrum pro kybernetickou bezpečnost (NCSC) vydaly pokyny pro výrobce IoT zařízení, ve kterých požadují, aby tato zařízení byla vybavena integrovaným zabezpečením a snadno se aktualizovala.

Americký Národní úřad pro normy a technologie (NIST) po čtyři roky sestavoval pravidla pro odpovídající zabezpečení IoT. Vydal je koncem roku 2016 v dokumentu NIST Special Publication 800–160.

Firmy a úřady toho ale musí udělat víc, aby se problém s nezabezpečenými IoT zařízeními nebral na lehkou váhu. Dobrým začátkem by bylo více veřejných osvětových kampaní podle modelu konference o zabezpečení IoT, která byla pořádána Europolem a organizací ENISA v nizozemském Haagu.

Je zřejmé, že kybernetické útoky zneužívající IoT budou čím dál častější. Důvěra v připojená zařízení kvůli nim klesne tak hluboko, jak ještě nikdy. A právě v tu chvíli začneme my, normální občané či majitelé malých firem, věnovat bezpečnosti IoT skutečnou pozornost. Internet věcí bude bezpečný a důvěryhodný jen v případě, že to budeme požadovat.

Co si myslíte o zabezpečení IoT? Sledujte nás na FacebookuTwitteru.