IoT – wyzwanie dla cyberbezpieczeństwa

Aleksandra Kopciuch

Coraz częściej spotykamy się z ofertami inteligentnych rozwiązań dla firm, domów czy miast. Technologia jaką jest Internet Rzeczy (IoT – Internet of Things) rozwija się niesamowicie szybko i cieszy się coraz większą popularnością, bo kto nie chciałby ułatwić sobie codziennych czynności, wyręczając się funkcjonalnością tych urządzeń? Tempa temu rozwojowi szczególnie nadaje powstanie sieci 5G, która daje znacznie większe możliwości względem internetu rzeczy. Urządzenia IoT będzie można znaleźć w miastach jako element infrastruktury SmartCities, we własnych domach jako komplementarne rozwiązanie SmartHome, ale też nie zabraknie ich w przemyśle czy w sektorze opieki zdrowotnej.

Zgodnie ze statystykami do 2025 roku będziemy mieli 3 razy więcej urządzeń IoT niż dotychczas. Przewiduje się, że do 2025 roku pojawi się 74,4 miliardów podłączonych urządzeń inteligentnych na świecie, gdzie do końca 2019 roku liczba ta wynosiła 26,6 miliardów[1]. Będzie można zauważyć ogromny przełom i to jak znaczny będzie miało to wpływ na nasze codzienne funkcjonowanie również pod względem bezpieczeństwa, tak jak prawo Hypponena mówi: wszystko, co jest inteligentne, jest podatne na zagrożenia[2]. Wynika z tego, że nie tylko wzrośnie liczba samych urządzeń, ale w konsekwencji również liczba cyberzagrożeń, więc wszyscy odpowiedzialni za cyberbezpieczeństwo będą mieli dużo pracy. Zapotrzebowanie na technologie przerasta możliwości względem badania i kontrolowania tych urządzeń z perspektywy bezpieczeństwa. Szans, jakie dają nam inteligentne urządzenia jest wiele, ale ataków na nie wcale nie będzie mniej.

Zagrożenia IoT

Urządzenia IoT to przedmioty podłączone do infrastruktury sieciowej, które komunikują się ze środowiskiem fizycznym poprzez tak zwane sensory. Głównym celem IoT jest przetwarzanie, gromadzenie i przesyłanie danych, czego wynikiem jest dostarczanie wielu „inteligentnych” funkcji. Wszystko to możliwe jest dzięki podłączeniu przedmiotów do sieci komputerowej. Specyfika tej technologii, wynikająca z przeprowadzonych badań, wskazuje na to, że urządzenia te mogą posiadać wiele niezidentyfikowanych podatności. Możemy do nich zaliczyć słaby poziom uwierzytelniania, niezabezpieczona sieć, rozproszony system zarządzania bezpieczeństwem, niezabezpieczone środowisko przechowywania danych. Wskazane zagrożenia są wynikiem najczęstszych naruszeń bezpieczeństwa IoT, gdzie w pierwszej czwórce znajdują się: zainfekowanie malware, ataki man in the middle, atak typu brute force oraz DDoS[3].

Jednym z problematycznych dla IoT obszarów jest rozproszony system zarządzania bezpieczeństwem, w tym, istotne z punktu widzenia cyberbezpieczeństwa, monitorowanie urządzeń IoT i reagowanie w wypadku nieprawidłowego działania lub awarii. W wielu przypadkach nie jest jasno określone, kto za to odpowiada albo czy w ogóle taka odpowiedzialność jest określona. Brak obserwacji funkcjonowania urządzeń IoT podłączonych do internetu może skutkować liczbą niepożądanych działań, z których użytkownicy nie będą zdawać sobie sprawy.

Kolejną podatnością jest słaby poziom uwierzytelniania, a szczególnie słabe hasła, które w łatwy sposób mogą być złamane i umożliwić nieautoryzowany dostęp do systemu, a czasami nawet „fabryczny” brak możliwości zastosowania hasła, co wydaje się szczególnym kuriozum. W konsekwencji umożliwia to przejęcie kontroli nad urządzeniem. Zwykle użytkownik przez przypadek dowiaduje się, że jego inteligentne urządzenie wysyła niechciane wiadomości czy generuje oszustwa w postaci wiadomości phishingowych. Oczywiście takim pośrednikiem w wysyłaniu spamu może być każde funkcjonalne urządzenie, które posiadamy w domu i jest podłączone do internetu.

Pisząc o IoT, nie można zapomnieć o istocie usług sieciowych. Aby umożliwić komunikację urządzeń w obrębie internetu rzeczy, należy połączyć je pewnym rodzajem sieci. Z reguły połączenia sieciowe dla IoT są bezprzewodowe, wynika to z dużej ilości urządzeń, co w wypadku połączeń kablowych byłoby znacznie utrudnione. Zwykle urządzenia łączą się bezpośrednio z centralnym hubem – routerem, a komunikacja odbywa się dzięki określonym zbiorom protokołów sieciowych. Niezabezpieczona sieć może być wykorzystana do uzyskania dostępu do urządzenia i przeprowadzenia ataku na inne. Narażone mogą być dane przechowywane i przetwarzane w chmurze. Nie ma wątpliwości, że urządzenia IoT gromadzą bardzo dużą ilość danych, które ujawnione mogą posłużyć do wielu celów, takich jak ujawnienie prywatnych danych, szantaż.

Wiemy jak popularna staje się chmura, a dla IoT stanowi rozwiązanie dla przechowywania gromadzonych i przetwarzanych danych. Tutaj należy pamiętać, że każde z podłączonych urządzeń generuje informacje o wszystkich czynnościach i są one przesyłane między sobą. Dlatego w tym wypadku istotny jest dostawca chmury i standardy bezpieczeństwa, które powinien wykazywać. Więcej o zagrożeniach i bezpieczeństwie chmury można dowiedzieć się z podcastów Cyber,Cyber.

Bezpieczeństwo IoT

W celu zbudowania odpowiedniego poziomu bezpieczeństwa IoT należy zadbać o kilka elementów, które razem będą składać się na system o wysokim poziomie zabezpieczeń. Do tych elementów należy fizyczne zabezpieczenie urządzeń, odpowiednia autoryzacja i identyfikacja, zabezpieczenie komunikacji pomiędzy urządzeniami, bezpieczeństwo chmury, oraz komplementarny system zarządzania bezpieczeństwem IoT.

Z punktu widzenia Narodowego Instytutu Standaryzacji i Technologii NIST (ang. National Institiute of Standards and Technology) na bezpieczeństwo IoT składa się sześć elementów, będących zbiorem rekomendacji dla producentów urządzeń IoT[4]. Co więcej te obszary mogą posłużyć jako wyznacznik dla konsumentów, którzy chcieliby zakupić bezpieczne urządzenia IoT i właśnie takich zabezpieczeń powinni wymagać od producenta:

1. Identyfikacja – każde z urządzeń IoT powinno być logicznie i fizycznie zidentyfikowane.
2. Konfiguracja urządzeń i oprogramowania przez uprawnione podmioty.
3. Ochrona przechowywanych i przetwarzanych danych.
4. Kontrola dostępu.
5. Aktualizacja oprogramowania.
6. Rejestrowanie zdarzeń cyberbezpieczeństwa w tym raportowanie ich przez uprawnione podmioty[5].

Producenci rozwiązań IoT powinni na etapie projektowania zidentyfikować zagrożenia, na podstawie których będą mogli określić zapotrzebowanie na konkretne zabezpieczenia jako krytyczny element procesu rozwoju urządzeń internetu rzeczy. Tutaj mogą kierować się międzynarodowymi wytycznymi bezpieczeństwa IoT. Ciekawy zestaw rekomendacji przedstawia m.in. brytyjski departament ds. cyfryzacji, który przygotował przewodniki dla producentów i konsumentów w zakresie bezpieczeństwa IoT[6]. Obejmują one praktyczne zalecenia dla tych, którzy chcą korzystać ale również tworzyć urządzenia internetu rzeczy. Zaproponowane przez brytyjski rząd rekomendacje przedstawiają zbiór zmapowanych odnośników do zewnętrznych materiałów zawierających zalecenia i wytyczne w zakresie bezpieczeństwa i prywatności IoT. Poza tym temat bezpieczeństwa tej technologii nie jest obcy europejskiej agencji ENISA (ang. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji). Na stronie internetowej agencji można odnaleźć wiele publikacji zawierających rekomendacje zarówno z perspektywy infrastruktury krytycznej, producentów czy IoT w chmurze[7].

Szczególnie ważne jest bezpieczeństwo IoT w sektorze przemysłu. To właśnie w tym obszarze może stanowić duże zagrożenie dla systemów ICS/SCADA. Nabiera to większego znaczenia ze względu na to, że część z tych przedsiębiorstw stanowi infrastrukturę krytyczną, istotną z punktu widzenia bezpieczeństwa państwa. Tutaj podejście w rozwoju funkcji IoT powinno obejmować kompleksowe zabezpieczenia przed utratą kontroli nad systemami sterującymi np. dostawami energii czy zarządzania wodociągami. W momencie pojawienia się inicjatywy wdrożenia IoT należy pamiętać o bezpieczeństwie już na etapie projektowania, gdzie możliwe będzie zbudowanie całej infrastruktury odpornej na ataki. O ile w sektorze energetyki dostawcy zobowiązani są wieloma regulacjami, wymagającymi szeregu zabezpieczeń dla kluczowych systemów, to wszelkie firmy z innych sektorów usług kluczowych, według badań, radzą sobie znacznie gorzej i to właśnie tutaj szczególnie należy podnieść poziom bezpieczeństwa dla IoT[8].

Podsumowując – internet rzeczy bez wątpienia jest nieodłącznym elementem rewolucji cyfrowej i stanowi duży potencjał względem możliwości ich wykorzystania. Jednak budując środowisko IoT, należy mieć pewność, że gromadzone dane i systemy są chronione. Bezpieczeństwo podłączonych urządzeń jest z dnia na dzień coraz ważniejsze względem ilości zagrożeń i incydentów, jakie mają miejsce. Wciąż jednak zauważalny jest brak standardów względem szybko rozwijającej się technologii i ilości produkowanych urządzeń, należy rozpocząć intensywna prace nad przygotowaniem ram do tworzenia bezpiecznego środowiska IoT.

Aleksandra Kopciuch

[1] https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/
[2] https://blog.f-secure.com/hypponens-law-smart-vulnerable/
[3] https://iiot-world.com/reports/an-overview-of-the-iot-security-market-report-2017-2022/
[4] https://www.nist.gov/news-events/news/2019/08/nist-releases-draft-security-feature-recommendations-iot-devices
[5] https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259-draft2.pdf
[6] https://www.gov.uk/government/collections/secure-by-design
[7] https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool/results#IoT
[8] https://www.automation.com/library/resources/cyberx-releases-2020-global-iotics-risk-report
https://cyberx-labs.com/resources/risk-report-2020/

Share Button