Ijesztő, mennyire elhanyagolják a gyártók az okosvárosokban alkalmazott IoT-megoldások biztonságát, állapítja meg a piacelemző. Hozzáteszi: ha nem lesz gyors változás e téren, világszerte komoly incidensekkel kell számolni a jövőben. Nem követik a legjobb biztonságtechnikai gyakorlatokat, így például nem alkalmaznak központosított felügyeletet, hiányoznak a rendszerek működését átlátó felelős szakemberek, hiányzik a hálózatok átláthatósága és túlságosan sok a támadási felület, összegzi a jelentés (Making Smart Cities Safe And Secure) főbb megállapításait a Network World hasábjain Jon Gold.
Szabotőrök paradicsoma
Természetüknél fogva az okosvárosok rengeteg támadási felületet kínálnak, hiszen tömérdek eszköz kapcsolódik a dolgok internetére. Egyesek ezek közül nagy valószínűséggel sérülékenyek, s minthogy földrajzilag egymástól, sőt gyakran a lakott vidékektől is távol eső pontokon helyezkednek el, nehéz mindenfajta hozzáféréssel szemben ellenállóvá tenni őket. Tovább rontják a helyzetet a hagyományos, örökölt berendezések, amelyek biztonságos távoli felügyelete és frissítése megoldhatatlan. A jelentés szerint ezeknél a régebbi technológiát képviselő eszközöknél a szoftverfrissítés lehetőségének hiánya miatt különösen nagyfokú sérülékenységgel kell számolni, különösen, ha földrajzilag is nehezen megközelíthető helyen találhatók. A tanulmány szerzői példaként egy ausztráliai szennyvíztisztító telepet hoznak fel, amelyet a SCADA rendszeren keresztül támadtak meg a szabotőrök.
Mindemellett a dolgok internetén előálló hatalmas adatmennyiség is hozzájárul ahhoz, hogy általánosságban véve sérülékenyként tekintsünk az okosváros-rendszerekre. Félrekonfigurált berendezéseknél nem meglepő, ha több adatot gyűjtenek, mint kellene, beleértve a személyiségi jogok védelmének körébe tartozó személyazonosító adatokat. Hasznos információ nyerhető ki például a parkolási szokások, a víz- vagy az áramfogyasztás elemzéséből, de a pontatlan és kompromittált adatok is alááshatják az okosváros-szolgáltatásokba vetett bizalmat.
Lassan érő tudás
Az informatikai biztonsággal foglalkozó szakértők csak most kezdenek ráébredni, milyen fontos az adatnyilvántartás a megfelelő védelem érdekében, az -osztályozás és az adatáramlás feltérképezése, az alapos kockázat- és adatvédelmi hatásvizsgálatok lefolytatása. A dolgok internetét tekintve pedig még messze nem tartanak itt, fogalmaz a jelentés.
Ahhoz képest, hogy a Forrester szerint 2017 és 2018 között megkétszereződött az IoT-implementációk és -tervek száma, a biztonság terén nem volt komolyabb előrelépés. 2004 és 2019 között tizenhárom okosváros-megoldásokat érintő súlyos incidenst számláltak az elemzők, amelyek közt akadt nagy kiterjedésű áramkimaradás, kórházak ellen intézett zsarolóprogram-támadás és vészhelyzeti szolgáltatások fennakadását eredményező behatolás.
Vannak persze előrelépések. A Forresternél ezek közé sorolják a gondos naplózást, amellyel a hálózatadminisztrátorok meg tudják különböztetni egymástól a normális és gyanús viselkedést. Naprakész eszközleltár és központosított vezérlés birtokában az okosváros-hálózatokba nehezebben tudnak kártékony kódokat, készülékeket bejuttatni a rosszfiúk, illetve átvenni az irányítást a kevésbé biztonságos rendszerelemek felett. Ha mindezt olyan intelligens riasztással fejelik meg, amely különbséget tud tenni, hogy az adott berendezés beázott, és ezért érintkezési hiba keletkezett, vagy pedig illetéktelenek babrálnak vele, még hatásosabban és pontosabban reagálhatnak a felelősök a felmerülő biztonsági fenyegetésekre.