Podrobně: (Ne)bezpečnost internetu věcí



Internet věcí (anglicky Internet of Things známý pod zkratkou IoT) představuje rychle narůstající celosvětovou síť nejrůznějších zařízení (např. vozidel, ledniček, výrobních strojů, odpadkových košů apod.), která jsou vybavena různě složitou či jednoduchou elektronikou, softwarem, senzory a síťovou konektivitou. Jedním z mnoha témat okolo IoT je bezpečnost - a my se na ni zde velmi podrobně podíváme.

Výše zmíněná konektivita, kterou jsou zařízení IoT vybavena, jim umožňuje vzájemně se propojit mezi sebou, nebo s nějakým centrálním řídícím uzlem. Cílem takového propojení může být buď pouze jednosměrný sběr dat z těchto zařízení do centra, např. sběr informací z teplotních senzorů z nějaké výrobní linky, transportních prostředků či skladovacích prostor. Ve druhém případě jde naopak o možnost zasílání instrukcí z centra do těchto prvků pro jejich ovládání, např. dálkové zapnutí vytápění v domě. Samozřejmě, největší přínos získáme v okamžiku, kdy tyto přenosy dat fungují obousměrně, třeba když z teplotního senzoru zjistíme, že je teplota v místnosti nízká, a pošleme povel k jejímu zvýšení.

IoT & AI: Internet věcí & Umělá inteligence

K výše uvedenému se logicky postupně přidává i možnost využití umělé inteligence (anglicky Artificial Intelligence, zkratka AI), aby výše zmíněný úkon (např. úprava teploty dle její aktuální naměřené hodnoty) nemusel dělat člověk, ale vyřídil ho za něj stroj / počítač. Možnosti a schopnosti umělé inteligence se zároveň velice rychle zvyšují do té míry, aby např. náš domácí digitální asistent věděl sám od sebe, jaká je pro nás optimální teplota, a neustále ji automaticky hlídal a sám upravoval. Ve skutečnosti jde ale technologie ještě dál a moderní digitální asistent může třeba vědět, kdo z členů domácnosti je doma, kdo má rád jakou teplotu v domě, hudbu, osvětlení apod. Většinou jde přitom o asistentky – např. Cortana od Microsoftu, Siri od Apple, nebo Alexa od Amazonu; jen Google používá genderově neutrální pojmenování „Hey Google“. Tyto asistentky mají dokonce snahu i dopředu odhadovat, co je pro Vás nejlepší, jakou budete mít náladu, na jakou hudbu či film budete mít chuť atd.

Z výše uvedeného příkladu si asi všichni umíme představit, jak by nám tato umělá inteligence ve spojení s Internetem věcí uměla znepříjemnit život, pokud se k tomu rozhodne sama (vizte katastrofické filmy typu Terminátor apod.), nebo pokud špatně vyhodnotí naše potřeby, udělá nějakou jinou chybu, nebo ji někdo zneužije se zlým úmyslem.

Rozšíření a význam IoT

Podle různých průzkumů (např. odhady společnosti Gartner) lze odhadovat, že celkové množství „věcí“, které jsou dnes připojeny k internetu, se pohybuje na hranici cca osmi miliard, a během několika let (do roku 2020) naroste zhruba třikrát, tedy na 20 miliard. Objem přenášených dat v rámci Internetu věcí tak přesáhne 600 zettabytů. K tomu je potřeba si také uvědomit, že v technologicky vyspělé části světa má již dnes polovina lidí kolem sebe více než čtyři „chytré věci“.

Aktuální využití „chytrých zařízení“ v domácnostech zahrnuje například následující oblasti:

  • Automatizace domácností a domů: vytápění, osvětlení, úklid, bezpečnost apod.
  • Pohodlí a zdraví: zdravotní senzory, monitory pohybu a sportu, nebo např. ledničky, které si sami hlídají množství jogurtů a jejich datum spotřeby.
  • Zábavu: chytré televize a centra domácí zábavy.

Využití IoT v komerčním nebo průmyslovém sektoru již dnes zahrnuje například aplikace pro monitorování spotřeby energie v nejrůznějších oblastech s cílem její úspory, nebo monitoring a řízení dopravy či sledování nejrůznějších parametrů v zemědělství.

Narůstajícím trendem je i postupné „ochytřování měst a budov“; nejvyšší přínosy vykazuje IoT například v úsporách energie, v automatizaci nejrůznějších podpůrných činností typu chytrých odpadních košů či kontejnerů, které samy nahlásí, pokud jsou plné, a přivolají si obsluhu k jejich vysypání.

Jaká jsou rizika zneužití IoT?

Dovolím si rozdělit rizika IoT na jedné straně pro využití v domácím a osobním životě, a na druhé straně pro využití v podnikovém a veřejném životě.

To, co je pro obě tyto sféry společné, jsou základní principy možného zneužití IoT v následujících základních oblastech:

  • zneužití IoT k přímému poškození uživatele (fyzické osoby, podniku či státní či veřejné organizace),
  • zneužití IoT jako přístupového bodu, přes který se lze dostat k jiným cenným aktivům,
  • zneužití IoT jako výpočetního a komunikačního zdroje k jiným účelům (k útoku na někoho jiného, nebo např. k těžbě kryptoměny apod.).

Rizika v domácí a osobní sféře

V této sféře se nejvyšší rizika týkají možného zneužití IoT k ohrožení života a majetku fyzických osob. Zatím se sice jedná většinou pouze o ukázky útoků v laboratorních podmínkách, reálné využití v praktickém životě však již bohužel není příliš vzdálené.

Představte si např. změnu fungování zdravotnických pomůcek, jako jsou kardiostimulátory, insulinové pumpy apod. Tímto způsobem může dojít i k tragickým dopadům na zdraví pacienta. Traduje se informace, že americký viceprezident Dick Cheney v roce 2007 pro jistotu nechal vypnout bezdrátovou komunikaci svého kardiostimulátoru z obavy před možným kyberteroristickým útokem.

K ohrožení života ale může dojít i při převzetí kontroly nad chytrým autem. V minulosti byly publikovány případy, kdy se podařilo kompletně převzít vzdálenou kontrolu nad řízením moderních automobilů, jejich volantu, brzdného systému atd.

S ohrožením majetku pak může souviset například případ s dálkovým ovládnutím elektronických zámků na dveřích, vypnutí bezpečnostního alarmu v domě apod.

Finanční profitu však mohou útočníci dosáhnout i formou „pouhého“ kybernetického vydírání, nikoliv útokem. Vaše lednička a mrazák např. můžou přestat chladit, v zimě přestane topení topit, dojde k vypínání elektřiny a vody, pokud nezaplatíte požadované „výpalné“. Podobně Vám může i sušička a pračka schválně zničit oblečení, vysavač po bytě rozfouká špínu apod.

Chytrá televize a další prvky domácí zábavy potom již mohou být zneužity k odposlechu, nebo dokonce nahrávání citlivých a zneužitelných záběrů. Bohužel, mikrofony, kamery a připojení k internetu, se stále častěji stávají součástí nejrůznějších domácích zařízení, včetně dětských hraček (např. panenek), nebo prvků dospělé zábavy, včetně erotických pomůcek, nebo právě digitálních asistentů.

V další oblasti, kdy jsou tyto přístroje zneužívány k útokům jiného typu, již jsou publikovány také konkrétní příklady. Například v roce 2016 došlo k masivnímu celosvětovému útoku na zařízení s operačním systémem Linux a jejich zneužití v botnetu MIRAI. Do tohoto botnetu byly zapojeny především domácí kamery a routery. Tento botnet byl využit v masivních DDoS útocích na webové systémy různých společností.

Nedávno společnost CheckPoint publikovala zprávu o vznikající mega-armádě botů „IoTroop“, do které se útočníci snaží „naverbovat“ statisíce až miliony zařízení typu IP kamery a domácí routery. Nejnovějším trendem se nyní stává utajené zneužívání výpočetního výkonu domácích počítačů k tajné těžbě kryptoměny, kde útočníci dosáhnou požadovaného zisku mnohem jednodušeji.

Rizika v podnikové sféře

V podnikové sféře jsou známé případy využití akvária k získání přístupu do vnitřní sítě jednoho kasina. V dalším případu byl využit špatně spravovaný server, který sloužil k ovládání klimatizace, k přístupu do interní sítě obrovského obchodního řetězce a ke krádeži milionů citlivých osobních údajů.

Dennodenně také dochází k připojování milionů průmyslových prvků do běžných interních administrativních sítí. Donedávna byly komunikační sítě průmyslových prvků buďto zcela odděleny od internetu, nebo jejich komunikace probíhala na specifických protokolech. Ekonomické přínosy související s možností snadnějšího využívání obrovského množství průmyslových dat však vedou k tomu, že jsou tyto prvky připojovány do běžných sítí a internetu, čímž přecházejí na běžné internetové komunikační protokoly.

Z tohoto odvětví jsou známé případy, kdy došlo k cílenému poškození funkce některých průmyslových prvků pomocí malwaru a přeprogramování funkcí daných prvků. Tím nejznámějším je aféra Stuxnet, kde došlo k poškození funkce odstředivek v jaderném komplexu v Íránu, nebo případ přerušení práce ve slévárně v Německu.

Jaké jsou možnosti řešení těchto rizik?

Zaprvé je nutné si uvědomit, že nárůst využití IoT je trendem, který nelze zvrátit, a ani nemá smysl tomu bránit; ekonomické a jiné přínosy jsou totiž obrovské.

Naopak je nutné si uvědomit, že každý dobrý sluha může být i zlým pánem. Čím víc se u nás doma nebo ve firmách a městech bude IoT rozšiřovat, tím více budeme na funkcích těchto moderních prvků závislí. A čím zajímavější data budou tyto prvky generovat, tím se automaticky stáváme zranitelnějšími. Před nákupem každého moderního IoT prvku dobře přemýšlejte o tom, zda:

- Opravdu potřebujete internetové či jiné připojení daného přístroje? Jaké výhody vám to přinese a stojí tyto výhody za riziko, které to sebou přináší? Jakým způsobem sesbíraná data využijete, respektive kdo je vlastně bude využívat a k čemu?

- Pokud ano, ptejte se výrobce (hledejte v parametrech):

  • Jaké je zabezpečení komunikace?
  • Jaké jsou možnosti aktualizace a záplatování nových bezpečnostních děr?
  • Jaká je důvěryhodnost daného výrobce a jeho dalších partnerů, např. vývojářů mobilní aplikace pro ovládání daného systému?

Pravidelně si doma či ve firmě dělejte inventuru všech „chytrých“ prvků:

  • Přinejmenším byste měli vědět, které prvky se připojují na síť, jaká data odesílají, zda k nim má někdo „zvenku“ přístup apod.
  • Sledujte, zda nejsou publikovány nové zranitelnosti, respektive zda verze firmwaru daného zařízení není příliš zastaralá, a pokud existují možnosti upgradu, rozhodně je využívejte, pokud je to možné a pokud přicházejí z důvěryhodných zdrojů.
  • Zablokujte vše, co není nezbytné.
  • Sledujte, co tato zařízení dělají, a zpozorněte, pokud „se chovají divně“.
  • Mějte připravené postupy, jak dané zařízení bezpečně odpojit nebo nahradit, pokud se začne chovat nebezpečně.

Řešení rizik IoT v domácnostech

Je jasné, že v běžných domácnostech se z výše uvedených rad většině lidí asi podaří splnit jen část. Z toho pohledu je asi vhodné, aby fungoval společný tlak jednak všech spotřebitelů, ale i státních orgánů, vůči všem výrobcům, které by je měly „nutit“ k postupnému zvyšování bezpečnostních standardů u jejich produktů a k zavádění vyšší bezpečnosti v provozu. Například jim zavést povinnost vydávat bezpečnostní opravy nalezených chyb, myslet na možnosti aktualizace apod.

Řešení rizik v podnikovém prostředí

Ve firmách a dalších organizacích by naopak měla být vyžadována výrazně vyšší úroveň kybernetické hygieny. IT ředitelé a bezpečnostní manažeři by měli prosadit pravidla, že do podnikové sítě (drátové či bezdrátové) se nesmí připojit žádné zařízení bez jejich vědomí, a dodržování tohoto pravidla kontrolovat a vynucovat. Zcela jistě jim lze doporučit i dodržování všech dalších uvedených principů.

Velký problém může nastat, pokud již máte velké množství zařízení se zastaralým programovým vybavením, a pokud tato zařízení nejsou schopna projít jakoukoliv úpravou kódu, či pokud je tato úprava riziková z pohledu možných neznámých dopadů do jiných funkcí apod. V takovém případě asi nezbývá, než tato jednotlivá zařízení nebo celý jejich segment, „obalit“ doplňkovými bezpečnostními nástroji a procesy, které umožní alespoň sledovat potenciální nebezpečné aktivity, rychle na ně reagovat a útok zastavit.

Na závěr však musím dodat, že jsem přesvědčen, že přínosy využívání IoT a AI jednoznačně převyšují nad uvedenými riziky a stojí za to tyto technologie využívat, nicméně s patřičným rozmyslem.

Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti Anect


(5. 2. 2018 | redakce2)


Předcházející článek: <<< Biometrické prvky v roce 2018: Pro stále dokonalejší zabezpečení <<<
Následující článek: >>> Výdaje na IT bezpečnost v roce 2018 strmě porostou >>>

Tento článek je součástí těchto speciálů:

Bezpečnost IT: Ostražitost je i letos na místě


Přehled hlavních trendů v oblasti IT bezpečnosti, GDPR, detailnější pohled na bezpečnost internetu věcí nebo třeba odhad výdajů na zajištění bezpečnosti informačních technologií - to je jen několik z řady témat, které se věnujeme v tomto aktuálním Top přehledu zaměřeném na bezpečnost IT.




Internet věcí 2018: Využití v praxi rychle roste


Zájem o řešení takzvaného internetu věcí rychle roste. Třeba na Novém Zélandu je již využívá více než čtvrtina všech tamních organizací a u nás, v regionu střední a východní Evropy, mají letos investice do projektů zaměřených na IoT vzrůst o 15,5 %. A to při klesajících cenách sensorů i dalších prvků IoT infrastruktury. Na co a jak se připravit?



Předcházející článek: <<< Internet věcí v českém zemědělství: Teplotu, srážky či vlhkost vzduchu hlídají on-line senzory <<<
Následující článek: >>> Internet věcí: Nové příležitosti i hrozby >>>

Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<

Tip - Konference: Mobilní řešení pro business - 20.9.2018!
Hledáme nové kolegy pro realizaci zajímavých projektů
v oblasti IT



NOVÉ: Druhá sada pozoruhodných IT produktů pro rok 2018
Ani tentokrát si nenechte ujít produkty, které vám mohou pomoci ve vaší práci v IT.

Pozoruhodné IT produkty pro rok 2018
I zde jistě najdete produkty, které si zaslouží vaši pozornost.





©2011-2018 BusinessIT.cz, ISSN 1805-0522 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
Používáme účetní program Money S3
O vydavateli | Pravidla webu BusinessIT.cz a ochrana soukromí | pg(5675)