Ako zabezpečiť IoT
Obrázok 1: Kódex praxe pre bezpečnosť spotrebiteľov internetu vecí Zdroj: Odbor digitálnej kultúry, médií a športu
IoT sa rozširuje, pričom približne 66% organizácií v súčasnosti využíva internet vecí a inštalačnú základňu približne 17 miliárd zariadení.
Analytická spoločnosť Gartner verí, že výdavky sa majú zvýšiť z odhadovaných 1,5 mld. USD v roku 2018 na viac ako 3 mld. USD do roku 2020 s odhadovanými 30 mld.
Donedávna existovalo len málo noriem alebo nariadení pre kybernetickú bezpečnosť zariadení a systémov internetu vecí. Tradičné prístupy k informáciám a kybernetickej bezpečnosti, ako napríklad ISO 27001 a Rámec kybernetickej bezpečnosti NIST, boli navrhnuté pre podniky, a hoci sú relevantné, neposkytujú cielené usmernenia potrebné na účinnú bezpečnosť internetu vecí.
Kybernetické incidenty IoT
Ďalším problémom je, že v zhone k vývoju a predaju zariadení IoT mnohé z týchto produktov nemali účinné bezpečnostné opatrenia. Veľký počet nasadených riešení je preto neistý a má otvorené bezpečnostné chyby.
Prieskum Gartner 2018 zistil, že takmer 20% organizácií zaznamenalo za posledné tri roky aspoň jeden útok založený na IoT. Patrili medzi ne v roku 2016 botnet Mirai, ktorý ohrozil zraniteľné zariadenia, ako napríklad CCTV kamery a domáce smerovače, a bol použitý na vykonávanie niekoľkých distribuovaných útokov na odmietnutie služby (DDoS), vrátane jedného na niektorých základných internetových službách, čo viedlo k tomu, že služby boli používateľom v Európe a USA.
V ďalšom útoku boli údaje o zákazníkoch ukradnuté z kasína cez nezabezpečený teplomer pripojený na internet v nádrži na ryby.
Počas uplynulých niekoľkých rokov mal škodlivý softvér Brickerbot infikovanie zariadení IoT, ktoré majú zlé zabezpečenie a prepísali firmware náhodnými údajmi, čím sa zariadenia stali nepoužiteľnými.
Viacnásobná obrana
V septembri 2018, Kalifornia schválila zákon, ktorý uvádza, že každý výrobca zariadenia, ktoré sa pripája priamo alebo nepriamo na internet, musí ho vybaviť „primeranými“ bezpečnostnými prvkami, ktoré majú zabrániť neoprávnenému prístupu a modifikácii. Federálni zákonodarcovia USA majú v procese prípravy aspoň päť návrhov legislatívnych návrhov v oblasti kybernetickej bezpečnosti.
EÚ vydala usmernenia o najlepších postupoch a bezpečnostných požiadavkách av októbri vydalo britské ministerstvo kultúry, médií a športu Kódex postupov pre bezpečnosť spotrebiteľov proti internetu. To podporuje 13 usmernení pre primeranú bezpečnosť internetu vecí (obrázok 1).
V širšej EÚ vydala agentúra ENISA (Agentúra Európskej únie pre bezpečnosť sietí a informácií) základné bezpečnostné odporúčania pre internet vecí, s osobitným zameraním na kritické vnútroštátne infraštruktúry. Iniciatívy priemyslu zahŕňali Kódex postupov IoT Security Foundation, ktorý poskytuje základ pre testovanie a certifikáciu bezpečnosti internetu vecí.
Hoci ide o veľký začiatok, problémom je, že najmä v EÚ nie sú tieto postupy povinné. Regulačné orgány musia vypracovať, ako možno účinne presadzovať účinné normy a postupy. Úlohou výrobcov zariadení IoT je zabezpečiť, aby boli produkty „zabezpečené dizajnom a štandardne“.
Z historického hľadiska priemysel pomaly prijímal bezpečnostné normy, čo viedlo k potrebe regulácie. S takýmto aktívnym trhom môžu dodávatelia zmeniť bezpečnosť na náklady a na konkurenčnú výhodu. Ak sa dobrovoľne neprijme osvedčený postup, môže to viesť k nadmernej reakcii, pričom sa zavedie reštriktívna a prísna regulácia. Hoci formálna akreditácia alebo certifikácia pre internet vecí je nejakým spôsobom mimo, dodávatelia by mali byť sami certifikovaní svojimi produktmi a službami. Neexistuje žiadna ospravedlnenie pre dodávateľov, aby poskytovali zariadenia a systémy s nepreukázanou bezpečnosťou.
Spotrebitelia internetu vecí musia byť tiež náročnejší na bezpečnostné požiadavky, ktoré očakávajú od výrobkov, a musia byť pripravení overiť, čo ponúkajú. To poskytne poskytovateľom skutočné stimuly na zahrnutie bezpečnosti podľa návrhu a ako predvolené.
Obrázok 2: Zaistenie dôvery a bezpečnosti v IoT
Dokonca aj keď sú jednotlivé produkty zabezpečené alebo certifikované, riešenie typu end-to-end nebude nevyhnutne bezpečné. Organizácie, ktoré integrujú alebo využívajú riešenia IoT, budú stále musieť byť presvedčené, že sú zabezpečené. Zahŕňa to pochopenie bezpečnostných a obchodných rizík, zaistenie bezpečnej architektúry na konci a že testovanie bolo vykonané na splnenie všetkých požiadaviek na ochranu osobných údajov (obrázok 2).
IoT ponúka jasné obchodné prínosy, ale výrobcovia, spotrebitelia a regulačné orgány musia teraz konať, aby poskytli primeranú bezpečnosť.
