Az igazság néha fáj, de jobb, ha az ember szembenéz vele. Az internettel foglalkozó BITAG (Broadband Internet Technology Advisory Group) tanácsadó csoport új jelentésében a dolgok internetére kapcsolódó eszközök gyártóit sürgeti erre új jelentésében, melyben leszögezi: a végfelhasználók nem fogják frissíteni az IoT-eszközeiken futó szoftvereket.
Bizonyossággal feltételezhetjük, hogy a végfelhasználók többsége önindíttatásból soha nem fogja frissíteni a szoftvereket, állapította meg a BITAG, ezért azt tanácsolja a gyártóknak, építsenek be termékeikbe olyan mechanizmusokat, amelyek automatikussá és biztonságossá teszik a frissítést.
Az emberi gyengeség azonban csupán egy a kemény valóság jellemzői közül, amelyekre a BITAG kitér múlt héten közzétett jelentésében. A csoport arra is rámutat, hogy a lakossági piacra szánt IoT-eszközök némelyike olyan, gyárilag beállított, gyenge felhasználónévvel és jelszóval kerül piacra, mint az "admin" és a "password", eleve híján van az azonosítás és a titkosítás képességének, illetve kiszolgáltatott a rosszindulatú szoftvereknek, amelyek bothálózatokba toborozzák ezeket a termékeket - emlékezzünk csak a nemrégi pusztításra, amelyet a dolgok internetére csatlakozó webkamerákból és médialejátszókból álló Mirai botnetek hagytak maguk után.
Az olasz IoT start-up MyClose olyan lakatot készített, és állított ki az idei IoT World konferencián a kaliforniai Santa Clarában, amely érzékeli, ha babrálnak vele, és riasztást küld tulajdonosának okostelefonjára
Több tanáccsal is szolgál a lakossági piacra szánt IoT-eszközök gyártóinak a BITAG. Mivel a csoportot olyan cégek szakemberei alkotják, mint például a Cisco, a Google, az AT&T és a Comcast, esélyes, hogy a tanácsok egy része nem talál süket fülekre.
Alapvető, hogy az IoT-szállítók elfogadják, bármilyen terméket is fejlesztenek, abban sérülékenységek is lesznek, ezért szükségük lesz olyan, automatikus eszközökre, amelyek távolról letöltik a termékekre a frissítéseket és a javító csomagokat - anélkül, hogy ehhez a végfelhasználónak bármit is tennie kellene, akár csak engedélyeznie ezt a folyamatot, mondta a BITAG.
A gyártóknak ehhez olyan bevált gyakorlatot kell követniük, mint az összes kommunikáció hitelesítése, az eszközön tárolt adatok titkosítása, és visszaélés esetén a tanúsítványok visszavonásának lehetősége.
Alapértelmezett beállításként az IoT-eszközöket elérhetetlenné kell tenni a befelé jövő hálózati kommunikáció számára, még akkor is, ha az ugyanazon otthonon belüli eszközökről érkezik, mert valamelyikük sérülékeny lehet, vagy kibertámadás áldozatául eshetett. Egy tűzfal telepítésével nem lehet megakadályozni a nem biztonságos adatkommunikációt. Javasolja továbbá a BITAG az IPv6 protokoll használatát az IoT-eszközökben, mivel az a korábbi, Ipv4-es verzióhoz képest előrelépést jelent a hálózatbiztonság terén is.
Miután egy kibertámadás következtében a végfelhasználó otthona elveszítheti internetkapcsolatát is, a BITAG szerint a szállítóknak olyan lakossági IoT-eszözök gyártására kellene törekedniük, amelyek offline üzemmódban, a hozzájuk tartozó felhőszolgáltatás kiesésekor is működnek.
Arra is felszólította a csoport a szállítókat, mindig tájékoztassák a felhasználókat, hogy egy terméket meddig fognak támogatni, illetve tervezik-e valamely funkció kivezetését a jövőben. A jelentés a Nest példáját hozta fel, amely az idén deaktiválta a Revolv okosotthonokba készült IoT hubját. A lépés érthető módon felháborította a fogyasztókat, akik 299 dollárt fizettek az eszközért, mielőtt a gyártót a Nest felvásárolta volna 2014-ben.
Ha az iparág elfogadja a BITAG javaslatát, akkor a jövőbben könnyebben megállapítható lesz, hogy egy lakossági IoT-eszköz biztonságos vagy sem. A csoport ugyanis egy logó bevezetését tanácsolja, amely tanúsítaná, hogy az adott termék fejlesztésekor a gyártó a bevált biztonsági gyakorlatot követte.
