Co si představit pod pojmem IoT
Internet věcí se dá definovat například jako propojení nám dobře známých přístrojů a předmětů denního používání do sítě, zejména do internetu. A to nejen notebooků a telefonů, běžně používáme třeba i chytré hodinky. Rozvojem procházejí i „Smart home“ zařízení jako zabezpečovací či kamerové systémy, chytré spotřebiče a audiovizuální technika nebo ovládání světel či žaluzií, topných, chladících nebo jiných enviromentálních soustav chytrými systémy, které (automaticky řízeny) reagují a komunikují s okolním světem právě pomocí veřejných sítí. Obvyklé je dnes již i propojení automobilů do datové sítě výrobce.
Dalším příkladem užití této technologie jsou systémy chytrých měst či vesnic, kde využíváme internet věcí například k řízení veřejného osvětlení, garážovacích systémů nebo dopravní infrastruktury (např. kamerové systémy nebo systémy řízení provozu – semafory). Chytrá města také obvykle sbírají data a komunikují s počítačovými systémy škol, knihoven apod. Problém bezpečnosti se tak promítá i do ochrany soukromí.
Kde dbát na bezpečnost nejvíce
Důležitým odvětvím jsou kritické systémy zdravotnických a průmyslových organizací. Takové podniky také propojují svá zařízení do sítě, navíc shromažďují velké množství citlivých dat, které je třeba chránit. Průmyslové řídící systémy, vodní hospodářství, zemědělství, letectví, elektrárenská zařízení, vojenské systémy, a i další samostatná kategorie non-IT (tzv. OT – Operation Technology) prostředků byly historicky od veřejných sítí oddělené anebo vůbec nepřipojené.
Za poslední léta se ovšem ani tyto systémy nevyhnou komunikaci s okolím, a to i z důvodu potřeby monitoringu provozu, sběru dat a jejich interpretace. Tím vzniká nová bezpečnostní disciplína, která musí taková data a systémy chránit.
Proč potřebujeme zajistit vyšší zabezpečení internetu věcí (tzv. kyberfyzickou bezpečnost)?
- Internet věcí je složen z různorodých komponent a výrobků obvykle vzájemně nekompatibilních. Proto nelze stanovit jednoduchou základní vrstvu bezpečnosti pro všechny součásti. Řešením je mezivrstva tzv. gateway, která bezpečně komunikuje se senzory internetu věcí a agreguje získaná data. Zvláštní důraz je pak kladen na zabezpečení právě této mezivrstvy. Často bývají IoT systémy ovládány velmi jednoduchými, nezabezpečenými, třeba mobilními aplikacemi, které znamenají další zranitelné místo pro útočníka.
- Koncová zařízení bývají obvykle slabě zabezpečena, jedná se totiž o sériové výrobky (kamery, čidla apod.), kde často útočník zná obecné známé heslo nebo známou zranitelnost „z výroby“ a zařízení může vyřadit z provozu či ho ovládnout. Příkladem může být zneužití řízení semaforů ve městě či vyřazení kamerových nebo bezpečnostních systémů města.
- Velký důraz na zabezpečení vyžadují již zmíněné kritické systémy infrastruktury, jakékoliv pochybení v ochraně takových organizací může mít obrovský dopad na velký počet lidí.
- Zneužití internetu věcí získalo nový rozměr i díky novým segmentům cílů útoků.
Možnost proniknout do domů (k odposlouchávání se dá zneužít např. chytrá televize či herní konzole), nemocnic a průmyslových systémů, ovládat jejich klíčová zařízení je velmi lákavé a hackeři se obvykle nezastaví ani nad nemorálními činy – vezměme si jen zvýšení počtu útoků na nemocnice v době pandemie Covid.
Jak tedy internet věcí zabezpečit?
- Nejprve je třeba provést audit bezpečnosti „od stolu“. Před vlastním pořízením či připojením stávajících technologií je nutné mimo jiné provést analýzu rizik a jejich dopadu. Budeme tak připraveni zodpovědět otázky „co se stane, když…“
- Další fází zabezpečení je pečlivý technický audit všech použitých komponent na vrstvách čidel, gatewayí i zpracování dat.
- Z obou auditních činností vznikne návrh procesu řízení bezpečnosti informací a návrh technologických úprav řešení či opatření. Stručně řečeno – vznikne plán, co máme dělat a řídit jinak z hlediska procesů a v souladu s bezpečnostními normami, a jak konkrétní technologie zabezpečíme na technické úrovni.
- Po realizaci opatření je vhodné provést bezpečnostní audit – např. formou služby bezpečnostního architekta, ten navrhne postup auditu jak celých systémů, tak jednotlivých zařízení.
- Součástí bezpečnostního auditu by mělo být i bezpečnostní či penetrační testování (a to pravidelné), které pomáhá odhalit slabá místa a zranitelnosti systémů internetu věcí a tím předcházet bezpečnostním incidentům.
Bezpečností IoT se zabýváme i my v TOTAL SERVICE. Pokud nevíte, jak na ni, kontaktujte nás.