Naše domácnosti i pracoviště jsou plná digitálních zařízení, která jsou připojená k internetu. Ať už to jsou chytré elektronické zámky, inteligentní prodejní automaty nebo lednice schopné samy si objednat chybějící potraviny. Výhody jsou zřejmé, ale stáváme se také daleko zranitelnějšími ze strany kybernetických hrozeb.
Jekaterina Rudina, System Analysts Team Lead, Security Analysis ve společnosti KasperskyDíky snadno dostupným uživatelským zařízením jako jsou termostat Nest home nebo Amazon Echo, jsme svědky strmě rostoucího trhu se zařízeními internetu věcí (IoT). Analytici očekávají, že počet IoT připojení do roku 2023 vzroste na 3,5 miliardy. Banka DBS zase předpovídá, že IoT trh dosáhne svého zlomového bodu – 20% míry celosvětové adopce zařízení internetu věcí – do konce roku 2019.
Vzhledem k předpovědím analytiků, kteří tvrdí, že každý uživatel bude za pár let vlastnit minimálně pět propojených zařízení, se stáváme daleko zranitelnějšími ze strany kybernetických hrozeb než si uvědomujeme. Většina uživatelů a firem si uvědomuje nutnost antivirové ochrany svých notebooků, telefonů nebo celých firemních sítích. To samé ale neplatí u chytrých zámků nebo bezpečnostních IP kamer.
Přitom malware zacílený na IoT je na vzestupu. Z našich dat a zjištění totiž vyplývá, že si kyberzločinci čím dál častěji uvědomují, jak zranitelná propojená zařízení jsou. V loňském prvním pololetí odborníci Kaspersky například zaznamenali třikrát více malwarových vzorků zaměřených na IoT (121 588) než za celý rok 2017. Analýza také ukázala, že kyberzločinci vzhledem k narůstajícímu množství IoT zařízení násobí a diverzifikují své útoky. Díky malwarovým útokům na IoT mohou těžit kryptoměny nebo vytvářet botnety.
Protože úroveň útoků na propojená zařízení neustále stoupá, je velmi důležité, aby na tento vývoj reagoval celý kyberbezpečnostní obor a přišel s vyspělejším modelem zabezpečení IoT. Vytvoření pokročilého modelu zabezpečení internetu věcí by pomohlo výrobcům, vývojářům a celému IoT průmyslu v tom, aby si mohli vybrat takové zabezpečení, které by nejlépe odpovídalo jejich podnikatelskému záměru.
Ilustrujme si důležitost vyspělého modelu zabezpečení IoT, který stojí na bezpečnostním monitoringu celého systému, na napadení retailového obra Target. V roce 2013 byla síť Targetu napadena útočníky, kterým se podařilo dostat malware do jejich prodejních zařízení. Kvůli tomu byli schopni za pouhé dva týdny nashromáždit okolo 40 milionů údajů o platebních kartách. Po důkladném vyšetřování tohoto incidentu odborníci zjistili, že útočníci získali přístup do zabezpečené sítě tohoto obchodníka skrz hlavního subdodavatele vytápění a klimatizace.
Výrobci vytápěcích, ventilačních a klimatizačních (HVAC) systémů dnes využívají spoustu IoT elementů, které zahrnují procesní regulátory, SCADA systémy, ovládací konzole a rozhraní, komunikační nástroje a další. Všechny tyto nástroje a konzole umožňují vzdálený přístup, díky čemuž třetí strany mohou snadno instalovat aktualizace a externě řešit problémy. Na jednu stranu tak HVAC systémy nabízejí zákazníkům pohodlí, na druhou stranu ale také poskytují spoustu zranitelných míst útočníkům.
Výše popsaný útok je skvělým příkladem integrovaného odvětví, ve kterém by mělo být provedeno posouzení vyspělosti zabezpečení každé dílčí složky v celém systému. Využití vyspělého bezpečnostního modelu by v případech jako je tento umožnilo organizacím a bezpečnostním odborníkům určit úroveň „dostatečné ochrany“, které by mělo být dosaženo napříč celou sítí – a to včetně zařízení umožňujících vzdálený přístup. Tím by mohly být vyhodnoceny a optimalizovány bezpečnostní procesy i přesně určeno množství nezbytné práce.
Vyvinout koherentní ochranu před kybernetickými hrozbami je obzvláště v oblasti internetu věcí, který zahrnuje široké spektrum odvětví a zařízení, velkou výzvou. Dobrý příklad toho, jak je IoT různorodé, uvádí IoT Security Maturity Model, který obsahuje mnohé příklady z praxe. Stáčecí linka využívající systémové integrátory, bezdrátově aktualizovaná gateway pro elektronickou řídicí jednotku automobilu nebo domácí bezpečnostní kamery – všechna tato zařízení potřebují podporu vyspělého bezpečnostního systému.
Jádrem vyspělého bezpečnostního modelu je hierarchie sestávající z řady bezpečnostních praktik – jako je implementace kontroly přístupu, ochrana uložených a přenášených dat, správa bezpečnostních aktualizací. Většina těchto aktivit je v současnosti vykonávána odděleně, nicméně v rámci systematičtějšího přístupu by měly být rozděleny do tří skupin. 1) Řízení správy firemní bezpečnosti. 2) Bezpečnost jako nedílná součást vývoje IoT zařízení. 3) Posilování bezpečnosti.
Komplexní přístup je klíčem k posouzení toho, jak je bezpečnostní model implementován, jak jsou aplikace systematizované a jak proběhla adaptace v každé ze zmíněných oblastí. Monitoring běžných kyberútoků, jako jsou krádeže přihlašovacích údajů nebo DDoS útoky, patří mezi nástroje základního bezpečnostního modelu. Mezi pokročilejší řadíme monitoring provozních scénářů aplikací, systematizaci útoků OWASP TOP 10 a STRIDE model. Nakonec je zapotřebí systém periodického přehodnocování hrozeb u každé z výše uvedených metod. Tím se vytvoří zcela inkluzivní, vyspělý bezpečnostní systém internetu věcí.
Komplexní systém ale sám o sobě nestačí. Stejně tak důležitá je schopnost přizpůsobit se specifickým potřebám jednotlivých průmyslových odvětví nebo konkrétních systémů. Je proto důležité zamyslet se nad primární funkcí daného IoT zařízení a na základě toho přistoupit k jeho zabezpečení.
Vzhledem k tomu, že malwaru zaměřeného na internet věcí neustále přibývá, bude komplexní model zabezpečení IoT nezbytný pro ochranu chytrých domácností, pracovišť, průmyslových odvětví, a dokonce i zdraví. Jeho implementace nebude jednoduchá a po bezpečnostních odbornících bude vyžadovat vyvinutí takových bezpečnostních procesů, které budou jak komplexní, tak specifické pro každé odvětví.
Jekaterina Rudina, System Analysts Team Lead, Security Analysis ve společnosti Kaspersky