Bezpečnost a IoT – vždyť se nemůže nic stát!

Řada firem z oblasti kybernetické bezpečnosti hovoří o současném trhu IoT zařízení jako o divokém západu. Většina IoT zařízení je zabezpečena stejně dobře jako běžný e-mail. Tedy nijak.

Konstruktéři různých LPWAN i M2M aplikací nechtějí rizika vidět a obvykle argumentují tím, že se nemůže nic stát nebo se ptají k čemu by někomu ta data byla. A to je právě oblast, ve které je nutné dát za pravdu velkým bezpečnostním firmám.

K čemu jsou někomu data z odečtů vodoměrů?

Zneužití dat se teoreticky může týkat uživatele zařízení – někoho zajímá, kolik soused spotřebuje vody nebo elektřiny, kdy se zapíná světlo nebo kolik součástek vyrobí stroj v továrně. Daleko častěji ovšem nemají hodnotu samotná data, ale jejich držení a zveřejnění. Cílem útoku není uživatel přístroje, ale organizace, které data unikla. V případě odečtů odběrů jsou to velké firmy z energetického sektoru, ale také města nebo obce. V lepším případě má útočník jen snahu poukázat ne bezpečnostní díru, jindy se útočník snaží poškodit konkrétní osoby nebo firmu.

Útok může být motivován i snahou o způsobení materiální škody. U IoT nodů je ekonomická návratnost projektu jednoznačně propojena s životností baterie. Nerozhoduje cena nodu, ale cena jeho instalace. Pokud dobře cílený útok zajistí vybití baterií stovek nodů, rozmístěných v mnoha lokalitách, zastaví celý projekt měření nebo sledování prostředí. Výměna nebo nová instalace nodů je drahá a nelze ji uskutečnit nijak rychle. Útoky na průmyslové provozy, které v posledních letech rostou, mají za cíl odstávku výroby.

Ekonomické ztráty jsou také hlavním důsledkem útoků na průmyslové provozy. V případě výroby aut nebo stáčení piva má odstávka dopad na výrobu. Útoky na infrastrukturu ale způsobí chaos, ohrozí bezpečnost i životy. IoT se rychle stává součástí technologií chytrých domů, měst, i zdravotnických služeb. Co se stane, pokud někdo na dálku zhasne světla v domě? Bude to jen legrace? Bude, ale jen pokud zrovna někdo nejde po schodech. A určitě to nebude legrace, pokud půjde o administrativní budovu, kde se pohybují stovky lidí. Přitom stačí podstrčit jiná data „jakoby“ z čidla osvětlení.

Jak budou reagovat řidiči, pokud jim ráno při příjezdu na parkoviště cedule oznámí, že všechna místa jsou obsazena, i když jsou volná? Co se stane, když čidla průjezdu vozidel přestanou dodávat správná data o provozu křižovatek? Jak rychle dokáže správce zareagovat na to, že zhaslo veřejné osvětlení? Tyto a další otázky je nutné řešit. Právě proto se IoT technologiím věnuje i řada firem z oblasti kybernetické bezpečnosti a upozorňují na to, že budoucnost není jen růžová.

Má to čistě praktické důvody. Ještě před deseti lety byly otázky zabezpečení u organizací i průmyslových firem řešeny na úrovni notebooků, stolních počítačů a serverů. Prostředí se silně změnilo s masivním nástupem chytrých mobilů, přenosných terminálů, sdílených aplikací a cloudových služeb. Již s tím rizika vzrostla několikrát a nyní přichází další otevřené díry. Propojování technologických zařízení i sběr dat z rozsáhlých LPWAN sítí mají často chabé zabezpečení a používané protokoly neumožňují ochranu realizovat. Slabé zabezpečení přitom vykazuje i řada technologií, připojených do síťového prostředí plnohodnotným a rychlým Ethernetem. Jak bezpečné je mít smart televizi s vestavěnou kamerou ve firemní zasedačce? Co udělá řada zařízení, když najde odemčenou WiFi síť, vytvořenou podstrčeným hotspotem, který někdo přilepil žvýkačkou v kanceláři pro 100 lidí? Ať jde o zařízení, která pro přenos dat využívají sítě LPWAN, WiFi, Bluetooth nebo LTE, je vždy na místě řešit jejich zabezpečení.

Bezpečnost pro IoT – nový byznys

Řada dodavatelů tyto aspekty zatím nechce vidět a možné dopady útoků bagatelizuje. Když bezpečnostní řešení nemají, zákazníkovi řeknou, že není potřeba. Jiné firmy, od výrobců součástek, až po poskytovatele infrastruktury od začátku ignorují mainstream v podobě levných a nezabezpečených řešení a jako standard nabízí bezpečné, ale dražší řešení.

Jasno v tom má například Cisco, které dlouhodobě koncept internetu věcí prosazuje. V konceptu IT+OT=IOT patří síťové infrastruktuře nejen transportní, ale zejména bezpečnostní úloha. Cisco tak má pro všechna zařízení internetu věcí integrované kontroly přístupu, bezpečnostní politiky i prevence narušení. To vše se týká plnohodnotného Ethernetu, kde je dostatečná hardwarová i softwarová kapacita, schopná obsloužit všechny bezpečnostní aspekty. Bezpečnostní nadstavby dnes existují i pro SCADA průmyslové sítě, které používají různé proprietární sériové protokoly. Jejich integraci najdeme například u systémů Schneider Electric nebo Rockwell Automation, které využívají mimo jiné systémy firmy Claroty, úspěšného startupu z Izraele.

Na globálním trhu vyrostla řada firem, které na bezpečnostních řešeních postavily svůj byznys. Další z nich je například izraelský Armis, startup, který loni upozornil na řadu chyb standardu Bluetooth, známých jako BlueBorne. Firma pro svůj výzkum IoT zařízení používá více než 4 miliony propojených zařízení. Zakladatel firmy také upozorňuje, že firmy a organizace dnes mají pouze chabé povědomí o tom, kolik zařízení se skutečně připojuje v jejich firemních sítích. Z výzkumu firmy dokonce vyplývá, že až 40 % zařízení v síti není vidět a není možné kontrolovat jejich provoz. Firmy si mimochodem všiml i Gartner, který ji zařadil mezi zajímavé dodavatele pro střední firmy.

Jiné firmy jako americká Bastille, řeší otázky spojené s fenoménem RF sítí. „Internet of Radios“ totiž do firem přináší tisíce nových zařízení, která se snaží komunikovat kdekoli mezi 60 MHz a 6 GHz bez ohledu na ostatní zařízení. V mnoha případech nepomůže ani mapa pásma, protože moderní širokopásmová zařízení dokáží měnit frekvence během sekund. Nebezpečím může být nejen cizí zařízení, které bude odchytávat komunikaci, případně podvrhovat data, ale také prosté zahlcení pásma nebo vzájemné rušení komunikace

Zajímavým aspektem bezpečnosti a internetu věcí jsou také drony. Jejich vyhledávání a eliminaci dnes řeší řada firem. Pro vojenské objekty, letiště, ale také pro elektrárny a další střežené budovy je důležitý trvalý dozor nad řízenými i automatickými drony. Využívají se zde kombinace kamerových, radarových i rádiových technologií, mezi vývojáři najdeme giganty jako Panasonic nebo menší firmy, kam můžeme zařadit například Dedrone. Propracovaný hardware doplňuje software, umožňující trasovat a monitorovat pohyb dronů a reagovat na jejich aktivitu.

Je pochopitelné, že otázky IoT bezpečnosti přidělávají vrásky také všem firmám, které poskytují cloudové služby. Množství a variabilita zařízení, která se snaží doručit nebo získat data z cloudu neustále roste, udržení kontroly vyžaduje čím dál sofistikovanější metody. Rizika IoT sítí a zařízení nejsou ničím novým pro firmy, které se kybernetické bezpečnosti věnují naplno. Mezi poskytovateli řešení pro IoT tak najdeme McAfee, Symantec, Sophos nebo Kaspersky Lab.

Nedávné odhalení nových chyb v procesorech poukázalo na zajímavý aspekt hrozeb. Ochrana na úrovni dat a jejich přenosu nestačí, důležitá je ochrana samotného hardware a software na nejnižších vrstvách. Například francouzská firma Prove & Run se soustředí na hardware pro mikroelektroniku, konkrétně pro procesory ARM Cortex A ARM Cortex M. ARM přitom pro svoji osmou verzi nabízí vlastní zabezpečení Platform Security Architecture. Na tomto poli se pohybuje také firma SecureRF, která nabízí kryptografické nástroje pro 32, 16, ale i 8 bitové procesory, běžně používaná v IoT zařízeních. Její řešení nabízí mimo jiné ST Microelectronics. Vlastní řešení ochrany komunikace a samotného procesoru používá Renesas a to včetně zabezpečení Flash pamětí pro boot systému a podobně komplexní přístup má také Analog Devices.

Konstatování v nadpisu a úvodníku, že všichni berou bezpečnost na lehkou váhu tedy úplně neplatí. Pro výběr technologie i dodavatele IoT řešení platí, že je lépe vybírat tam, kde téma bezpečnosti nepodceňují.

Autor: Robert Peška, zdroj