Przez długi czas zastanawiałem się, czy powinienem napisać artykuł na ten temat, czy jednak odpuścić. Moje rozterki spowodowane były tym, że nie jest to publikacja stricte skierowana do osób zaawansowanych w dziedzinie cyberbezpieczeństwa, a takie osoby niezbyt często czytają artykuły na specjalistycznych portalach. Fakt posiadania rodziny, jak również to, że i ekspertom warto czasem pewne kwestie przypomnieć spowodował, że jednak popełniam ten tekst mając nadzieję, że może choć jedna osoba z niego skorzysta.

Inteligentne domy

W dzisiejszych czasach już nie tylko firmy czy instytucje, ale również nasze domy w dużym stopniu uzależniamy od nowych technologii, wszak domem przyszłości i to już najbliższej przyszłości jest SMART HOME, gdzie większość kluczowych funkcji mają spełniać rozwiązania technologiczne, często posługujące się sztuczną inteligencją, która odciąży nas od wielu „uroków” życia codziennego. Te inteligentne rozwiązania mają między innymi dbać o nasze zakupy, samopoczucie i oczywiście, bezpieczeństwo naszego dobytku i bliskich.

Oczywiste jest, że odpowiednio wykorzystany, Internet Rzeczy (IoT) – bo o nim tu mowa – ma potencjał, aby poprawić jakość życia. Każdy kij ma jednak dwa końce i rosnąca popularność rozwiązań IoT powoduje, że ​​narażeni jesteśmy na całą serię skutecznych cyberataków. Lecz nie o same domy przyszłości chodzi. Nawet jeśli korzystamy z wciąż tradycyjnie rozumianego domu, to staramy się wprowadzić do niego szereg zabezpieczeń często opartych na mechanizmach, które bazują na rozwiązaniach teleinformatycznych. Bardzo często jednak zapominamy o tym, że wprowadzając pewne najnowocześniejsze udogodnienia czy zabezpieczenia, które mają ułatwiać życie lub uchronić nas i naszych najbliższych przed zewnętrznymi i wewnętrznymi zagrożeniami, tworzymy całkiem nowe ryzyka, które bardzo szybko mogą się zmaterializować.

Kamera w pokoju dziecka

Przykładem takiego zabezpieczenia, które stworzyło całkiem nową podatność jest niedawna sprawa, którą opisał Washington Post. W Stanach Zjednoczonych rodzice, którzy często przebywają w pracy (nocne dyżury). Aby zapewnić sobie spokój ducha i, jak sądzili, większe bezpieczeństwo dzieciom, podczas czarnopiątkowego szaleństwa, zakupili i zainstalowali w pokoju swoich dzieci podłączoną do sieci kamerę wraz z systemem audio, która pozwalała im na bieżącą kontrolę sytuacji w dziecięcym pokoju. Jaki był tego efekt? Jak donoszą media okazało się, że rozwiązanie mające potencjalnie posłużyć wzmocnieniu poczucia bezpieczeństwa rodziny, zostało wykorzystane do jej nękania i stanowiło dla niej realne zagrożenie. Jak informuje prasa, „haker” (choć moim zdaniem ciężko tego osobnika nazwać hakerem), przełamując podstawowe fabryczne zabezpieczenia sprzętowe uzyskał dostęp do kamery i wykorzystując jej możliwości techniczne wielokrotne nękał 8-letnią dziewczynkę. Dziecko po wejściu do pokoju słyszało dziwne głosy (np. muzyka z popularnych horrorów, rozmowy) wydobywające się z urządzenia, które to nie należały do jego rodziców. Możemy tylko domyślać się, jakie emocje i traumę wywołała u dziecka rozmowa z głosami, które rozchodziły się po jego pokoju. Dziewczynka nie chce teraz sama spać i boi się przebywać w pokoju, właściwie wraz siostrą całkowicie zaprzestały z niego korzystać. Warto zaznaczyć, że podobne przypadki powtarzały się wielokrotnie u różnych użytkowników. Pozostaje mieć nadzieję, że „żartownisia” spotka wysoka i ze wszech miar zasłużona kara.

Warto przeprowadzić analizę ryzyka

Jeśli odrzucimy od tego ludzkie emocje, a do sprawy podejdziemy z procesowego punktu widzenia, to jest to klasyczny przykład, że zawsze po wprowadzeniu nowego zabezpieczenia, które, według naszego przekonania, rozwiązuje pewne problemy, zawsze powinniśmy przeprowadzić dodatkową analizę ryzyka. W nowej analizie należy uwzględnić podatności, jakie stworzyło zastosowanie tego konkretnego rozwiązania, ponieważ w efekcie okazać się może, że ryzyko staje się wyższe poprzez wywołane skutki jego materializacji, jak również prawdopodobieństwo jego wystąpienia.

Obecnie większa odpowiedzialność za bezpieczeństwo urządzeń IoT spada na użytkowników tych urządzeń i aplikacji. Nie jestem zbytnim fanem regulacji ale w tym konkretnym przypadku nie powinno tak być i zdecydowanie większy ciężar odpowiedzialności za bezpieczeństwo powinien spoczywać na barkach producentów sprzętu, a osiągnąć to można skutecznie regulując rynek. Czemu tak sądzę? Otóż cyberbezpieczeństwo i rozwiązania technologiczne to wiedza, której pełnego zrozumienia nie można oczekiwać od zwykłego Kowalskiego i w związku z ciągłym rozwojem nasz Kowalski nigdy nie będzie w tym wystarczająco dobry.  Od dłuższego czasu czynniki rządowe starają się uregulować tę kwestię. Producenci muszą zdawać sobie sprawę, że to od ich produktów zależy bezpieczeństwo obywateli, a być może i państw, bo nigdy nie wiadomo kto stanie się ofiara ataku. Zasady odpowiedzialności uregulowane w takim akcie mogą być silnym stymulantem dla producentów do ciągłego podnoszenia poziomu bezpieczeństwa ich rozwiązań i w efekcie może uchronić to użytkowników od niepożądanych zdarzeń związanych z używaniem IOT. Kwestie bezpieczeństwa powinny być brane pod uwagę w całym cyklu produkcji urządzenia, od momentu podjęcia wstępnych działań projektowych, do ostatecznych testów bezpieczeństwa już gotowego produktu. Zarówno Wielka Brytania jak i USA przygotowały pewne wytyczne dla producentów, ale wciąż możemy mówić, że to jedynie dobre praktyki i do aktów regulujących rynek wciąż im wiele brakuje.

Podsumowanie

Nie podchodźmy do zabezpieczeń bezmyślnie, przekonani o ich skuteczności wynikającej z ulotek reklamowych. Każdy sprzedawca zapewni nas, że jego rozwiązanie jest bezpieczne, a pudełko, które nam sprzedaje, będzie rozwiązywać wszystkie problemy, które spędzały nam do tej pory sen z powiek. Takich rozwiązań nie ma i najprawdopodobniej nigdy nie będzie. Zachowujmy się więc odpowiedzialnie, zwłaszcza jeśli rozwiązania przez nas stosowane w zakresie swego działania dotyczą nie tylko nas samych. Spoczywa na nas wielka odpowiedzialność i musimy pamiętać, że każde nawet niezwykle nowoczesne i wygodne rozwiązanie niesie ze sobą ukryte ryzyka. Skutecznej ich identyfikacji i późniejszej mitygacji sobie i Państwu życzę.

Autor: Cyprian Gutkowski