Közel másfél millió terepjárót hívott vissza a Fiat Chrysler július végén, hogy kijavítsa szoftverhibájukat, amelyet kihasználva a hackerek távolról hatalmukba keríthetik a járműveket. Két IT-biztonsági kutató, Charlie Miller és Chris Valasek ugyanis a Wired magazinnal közösen demonstrálta, hogy egy 2015-ös Jeep Cherokee fedélzeti szórakoztatóelektronikai rendszerén keresztül a gépkocsi létfontosságú funkcióit is irányítása alá tudja vonni. Ez a mobiladat-hálózatra csatlakozó rendszer ugyanis jellemzően összeköttetésben áll a korszerű gépjárművekben szinte mindenütt megtalálható elektronikus irányítóegységekkel (ECU-kkal), amelyek száma elérheti a kétszázat.
Nem sokkal ezután az egyesült királyságbeli NCC Group szakértői ugyancsak arról számoltak be, hogy viszonylag olcsón beszerezhető komponenseket csatlakoztatva egy mobilszámítógéphez olyan digitális rádióállomást készítettek, amellyel rosszindulatú kódot juttattak egy személygépkocsi fedélzeti szórakoztatóelektronikai rendszerébe.
Miller és Valasek megosztotta a Chryslerrel a szoftver sérülékenységére vonatkozó információkat, mire az autógyártó javítást bocsátott ki, azt azonban a gépkocsi-tulajdonosoknak maguknak kell letölteniük, USB kulcsra másolniuk és telepíteniük a fedélzeti rendszeren. Ráadásul a javítócsomag kimondottan ezt az egy hibát javítja, miközben a jármű szoftverében más biztonsági rések is lehetnek. Biztonsági szakértők és elemzők részéről ezért számos bírálat érte a Chryslert, és az eset az Egyesült Államok közlekedésbiztonsági hatóságának, valamint kongresszusának figyelmét is felkeltette.
A biztonsági rések foltozgatása, tűzfalak építése ráadásul téves, és végső soron kudarcra ítélt védelmi stratégia, mondta Miller anyalapunknak. A számítógépek egymás közti kommunikációja nem tehető százszázalékosan biztonságossá, egy hálózati tűzfal feltörése pusztán idő és eltökéltség kérdése. Éppen ezért a hálózatra csatlakozó járművek gyártóinak olyan rendszereket kellene fejleszteniük, amelyek a támadók kívül tartása helyett a biztonsági események azonnali észlelését és semlegesítését helyezik előtérbe.
Nőni fog a támadások száma
A dolgok internete (IoT) olyan adatokhoz juttatja a szervezeteket, amelyek elemzésével felismerhetik, miként növelhető működésük hatékonysága, emelhető termékeik, szolgáltatásaik minősége. Ezt ma már egyre több éles, illetve próbaprojekt igazolja például a gyártó- és energiaipar, a hajózás és a légi közlekedés, a bányászat és az egészségügy területén. A vállalatoknak arról sem szabad megfeledkezniük, hogy a hálózatra csatlakozó eszközök számával a felület is nő, amelyen keresztül a támadók hozzáférhetnek rendszereikhez, értékes és érzékeny adataikhoz.
Várható éppen ezért, hogy a továbbiakban nőni fog az ipari rendszereket, energetikai infrastruktúrákat célzó kibertámadások száma, hangzott el a májusban Bostonban megrendezett LiveWorx konferencián, amelyen az egybegyűlt szakemberek az IoT üzleti előnyeit és biztonsági kockázatait mérlegelték.
A vállalati biztonsági szabályzatok jellemzően a háttérrendszerek és az alkalmazottak által használt klienseszközök védelmére összpontosítanak. A dolgok internetén azonban ez a határvonal messze kitolódik a szerverterem és az iroda falain, de még a mobil körülmények között dolgozó kollégák kezében levő okostelefonokon és laptopokon is túlra. Döbbenetes látni, milyen sok vállalat vezet be szigorú intézkedéseket a hordozható számítógépek használatára nézve, miközben megfeledkezik a terepen telepített mérőeszközökről, amelyek üzletileg kritikus rendszereibe juttatnak adatokat - foglalta össze anyalapunk a konferencián kifejtett véleményeket.
A közelmúltban a Massachusetts állambeli Cambridge-ben megrendezett TIE Startup konferencia egyik panelbeszélgetésén az IBM, az IDC, a LogMeIn, valamint az RSA szakemberei szintén az IoT és a biztonság kapcsolatát boncolgatták. A technológia gyorsabban fejlődik annál, semhogy időt hagyna a vállalatoknak arra, hogy házon belüli és a nyilvános felhőben elért erőforrásaik köré megfelelő védelmet vonhassanak, mutattak rá a beszélgetés résztvevői. Bár a piaci adatok javulást mutatnak, a szervezetek továbbra sem költenek annyit informatikai biztonságra, amennyit kellene, és az IoT megjelenése csak növeli a védekezés lépéshátrányát a fenyegetésekkel szemben. Aligha várható változás ezen a téren, amíg nem következik be néhány IoT-biztonsági katasztrófa, ebben az értelemben a dolgok internete egy időzített bomba.
Elég vészjóslónak tűnik ez, de korántsem jelenti azt, hogy a vállalatoknak le kellene mondaniuk az IoT-projektekről. Az innováció érthető módon olyan foglalatosság, amely elsősorban nem a biztonságra összpontosít, a felelőtlen magatartást azonban ez nem indokolja. A szervezet már azzal is sokat tett biztonsága érdekében, ha - legalábbis első körben - a dolgok internetével éles rendszereitől elkülönítve, laboratóriumi körülmények között kísérletezik. Menet közben jobban meg fogja érteni, hogy egy IoT-alkalmazás bevezetéséhez miként kell továbbfejlesztenie védelmi stratégiáját.
Szintén lényeges különbség mutatkozik a felhőalapú és az IoT-megoldások megjelenése között. Míg a felhőszolgáltatók rendszerint az informatikai biztonság területén tapasztalt piaci szereplők vagy az ő infrastruktúrájukra építő, feltörekvő cégek, addig az IoT-kínálat jelentős szeletét olyan termékek - például okos villanyégők, fogkefék és hasonló dolgok - gyártói alkotják, amelyek kevésbé jártasak az informatika terén. Nem lesz könnyű behozni a lemaradást, de az eszközgyártóknak mindent meg kell tenniük érte, mert azzal, hogy okostermékkel lépnek piacra, az értékesítés és a támogatás, a vevőszolgálat addigi gyakorlatát is át kell alakítaniuk, az informatika hirtelen kulcsfontosságúvá válik egész tevékenységük szempontjából.
Akár önerőből, akár külső partner bevonásával építenek be biztonsági funkciókat IoT-termékeikbe a gyártók, sokat azért sem késlekedhetnek ezzel, mert előbb-utóbb megjelennek azok a törvények, amelyek előírják, hogy a dolgok internetén milyen védelmet kell kapniuk az adatoknak, illetve amelyek értelmében a felhasználók eldönthetik, ki mely adataikhoz férhet hozzá, s azokkal mit tehet.
Aggodalmak és tanácsok
Jelszavak védelmével, engedélyekkel és titkosítással összefüggő biztonsági réseket tartalmaz a széles körben elterjedt IoT-eszközök nem kevesebb mint 70 százaléka, figyelmeztetett a HP tavaly közzétett tanulmányában (Internet of Things Research Study). Az eszközök növekvő száma és sokfélesége egyaránt megnehezíti a dolgok internetének védelmét. Testvérlapunk, a CIO magazin szerint az IoT három, legnagyobb aggodalomra okot adó biztonsági kockázata a magánszféra sérülése, a vállalati adatvagyon illetéktelen kezekbe kerülése és az átfogó, egységesen menedzselhető védelem hiánya. Azonban mind a magánemberek, mind a szervezetek sokat tehetnek a jelenlegi körülmények között is, hogy nagyobb biztonságban tudhassák magukat a dolgok internetén.
Törvénytelen megfigyelés, a magánszféra sérülése - Az IoT-re csatlakozó személygépkocsik, háztartási készülékek, gyerekjátékok és más eszközök a felhasználók törvénytelen megfigyelésére is alkalmat adnak. Egy okos ajtózárat feltörve a bűnözők például tanulmányozhatják a lakók mozgását, de a hangvezérlésű okostévéken vagy a babakamerákon keresztül lehallgatható a lakásban folyó beszélgetés is.
Megnehezíti a hasonló támadások kivitelezését, ha a felhasználó az IoT-eszköz gyárilag beállított jelszavát megváltoztatja - persze nem egy könnyen feltörhető, gyenge jelszóra -, és azt a továbbiakban is karbantartja. Ha okoseszközök kerülnek a háztartásba, célszerű az otthoni hálózatot feldarabolni, azaz külön hálózatot létrehozni az IoT-eszközöknek, a családtagok személyi digitális eszközeinek és - ha van ilyen - az otthoni irodának, mert ezzel sikeres behatolás esetén korlátozható a támadó mozgástere, csökkenthető az okozott kár.
A vállalati adatvagyon illetéktelen kezekbe kerülése - Olyan környezetet kell kialakítania a szervezetnek, amelyben az IT-biztonságért felelős személy vagy csoport teljes rálátást kap a hálózatra csatlakozó eszközökre, azok elhelyezkedésére és aktivitására. Ha egy okostelefon kapcsolódik a cég vendégeinek fenntartott wifire, az valószínűleg nem jelent akkora biztonsági kockázatot, mint ha a konyhában duruzsoló okos hűtőszekrény próbál belépni a vállalatirányítási rendszerbe.
Az IoT-eszközök gyenge láthatósága komoly veszélyforrást jelent, mert egyáltalán nem mindegy, milyen adatokat tárolnak, továbbítanak, és azok hová kerülnek. Az IT-biztonság szempontjából az adatok kezelését szabályozó információmenedzsment eddig is kulcsfontosságú volt, de a dolgok internete azt egyenesen nélkülözhetetlenné teszi. Éppen ezért meglepő, hogy az ISACA (Information Systems Audit and Control Association) felmérése (IT Risk/Reward Barometer) szerint a BYOD-programmal rendelkező vállalatok csupán 11 százaléka szabályozta a viselhető digitális eszközök munkahelyi használatát, jóllehet 81 százalékuk nagyobb biztonsági kockázatot lát bennük, mint a dolgozók tulajdonában levő okostelefonokban és tabletekben.
Az IoT-eszközök egységes felügyeletének hiánya - Nem készült még el az alkalmazásprogramozó felületek (API-k) szabványos készlete, amelyek egyaránt szükségesek a különféle IoT-eszközök egymás közti kommunikációjához és hatékony felügyeletéhez. Amint megállapodik róluk az iparág, az élet is egy kicsivel veszélytelenebb lesz a dolgok internetén.