Japonsko se chystá otestovat na kybernetickou bezpečnost 200 milionů zařízení IoT

IoT hacked

Japonská vláda oznámila plán otestovat zařízení IoT nainstalovaná v Japonsku z hlediska kybernetické bezpečnosti. Je velmi pravděpodobné, že výsledky testování odhalí nepříjemnou pravdu, která je známa mnoha odborníkům, ale většina spotřebitelů si její důsledky plně neuvědomuje, a to že většina využívaných zařízení IoT je velmi zranitelná vůči kybernetickým útokům.

V polovině února plánuje japonská vláda „nabourat“ více než 200 milionů IoT zařízení, která jsou nainstalována v domácnostech i jinde v Japonsku. Nebezpečnost Internetu věcí způsobuje mnoho faktorů, včetně lhostejnosti a nečinnosti spotřebitelů. Velmi často se totiž stává, že se spotřebitele po zakoupení a instalací IoT zařízení vůbec neobtěžují změnit počáteční nastavení. Problémem je také, že peer-to-peer komunikace mezi IoT zařízeními není ověřována a monitorována, a že poskytovatelé služeb nedělají dostatečně často automatické aktualizace firmwaru.

Zatímco bezpečnostní experti považují plán japonské vlády za nezbytný krok, mnoho japonských médií vládu za tento krok ostře kritizuje. Kritici považují tuto akci za porušení soukromí občanů. Koneckonců komu by se líbilo, že mu vláda nahlíží do osobního života? Mimoto většina lidí vládě nedůvěřuje, že bude schopna shromážděná data udržet v bezpečí. Jak si můžeme být jistí, že vládě některá data neuniknout – třeba i nevědomky. Japonci mohou mít oprávněný strach, že se Japonsko stane ve jménu zajištění veřejné bezpečnosti policejním státem. Stane se Japonsko Čínou?

Národní institut pro informační a komunikační technologie (National Institute of Information and Communications Technology, NICT) ve svém veřejném oznámení uvedl, že bude k pokusům o nabourání náhodně vybraných zařízení ioT používat výchozí hesla a další taktiky. Cílem je sestavit seznam zranitelných zařízení. NICT chce tyto informace následně poskytnout poskytovatelům internetových služeb, kterým bude doporučeno upozornit spotřebitele a zabezpečit zařízení. Vláda nespecifikovala konkrétní cílová zařízení, ale je velmi pravděpodobné, že se začne routery a webovými kamerami. Podle NICT by celá akce mohla trvat až pět let.

Japonská vláda má samozřejmě pro tento krok dokonalé ospravedlnění. Její omluvou pro tuto eskalaci Velkého bratra jsou Olympijské hry, které se budou konat v Tokiu v roce 2020. Při všech mezinárodních akcích jako Světový pohár nebo Olympijské hry je obvyklé, že bezpečnostní odborníci a vládní agentury vydávají varování ohledně kybernetické bezpečnosti. V živé paměti ještě máme útok malwaru Mirai, který napadá k Internetu připojená zařízení s operačním systémem Linux a mění je na dálkově ovládané boty, kteří mohou být použiti jako součást botnetu. Hlavními cíli Mirai byly spotřební zařízení jako IP kamery a domácí routery.

Tanner Johnson, analytik kybernetické bezpečnosti zaměřený na IoT a transformační technologie ze společnosti IHS Markit, považuje „hackerský“ plán japonské vlády za jednoduché proaktivní opatření. „Během události, jako jsou Olympijské hry, navštíví Japonsko miliony lidí, což zajisté vyvolá určité obavy o bezpečnost. Technologicky naivní nebo neznalí jednotlivci budou využívat různá zařízení, která bude možné nabourat. Hackeři nepůjdou po silně zabezpečených zařízeních, protože to stojí příliš úsilí. Naopak, aby pronikly do sítě, zaměří se na nejslabší články.“

Skeptici se nicméně ptají, zda je plán prostě jen cvičení pro Olympijské hry nebo jestli může sloužit i k jiným vládním účelům. Manažerka AnyConnect Gaku Ogura položila v tomto ohledu zajímavou otázku: „Pokud se jedná o zpřísnění bezpečnosti při přípravě na Olympijských her v Tokiu, zajímalo by mě, proč vláda říká, že tento program může trvat až pět let.“

Proč pět let?

Společnost AnyConnect nabízí platformu umožňující výrobcům zařízení a poskytovatelům služeb rozvíjet a spravovat videozařízení IoT, včetně připojených a vestavěných kamer. Ogura uznává, že japonští spotřebitelé v mnoha případech nepodnikají základní kroky k tomu, aby změnili výchozí hesla svých zařízení připojených k Internetu.

Někteří mají podezření, že se japonská vláda ve skutečnosti pokouší zjistit, jak se chovají technologie Huawei využívané v síti a síťových zařízeních. Existuje samozřejmě řada důvodů, proč by měl být takový test proveden. Pokud však odhlédneme od všech důvodů, které jsou předmětem takového testu, vysvětluje Johnson, je nepochybné, že tento test byl navržen tak, aby umožnil získat data o konkrétních zařízeních a poskytl hloubkovou analýzu jejich chování.

Je Japonsko první?

Zda je Japonsko první zemí na světě, které iniciuje otestování zabezpečení IoT zařízení na národní úrovni je značně diskutabilní. Analytik společnosti IHS Tanner Johnson k tomu říká: „Myslím, že podobné testy již proběhly v desítkách zemí, ale není pravděpodobné, že by své snahy zveřejnili, protože takové akce vyvolávají neklid a ohlasy ohledně narušování osobního soukromí ze strany vlády.“

V rámci přípravy na tento plánovaný test japonská vláda již změnila zákon, aby zajistila, že průzkum NCIT nebude v rozporu se zákonem.

Bude ale takový průzkum účinný? „Myslím si, že pokud bude test proveden správně a lidé se slabým zabezpečením budou informování, lze zajistit provedení určitých následných opatření. Takový test by mohl být velmi účinný při snižování počtu zranitelných zařízení v regionu,“ říká Johnson.

Nevýhodou takového testování je silná odezva ohledně narušování osobního soukromí. Mimoto tu jsou další obavy, které se týkají absence „souhlasu“, jenž je obvykle požadován pro jakýkoli druh penetračního testování.

Jaký dopad to bude mít na výrobce čipů a systémů IoT? Podle Johnsona zanedbatelný. „OEM dobře vědí, že většina uživatelů má jen omezené znalosti, co se týče zabezpečení a ještě méně trpělivosti, pokud jde o údržbu. Proto navrhují své produkty tak, aby je bylo co nejsnadnější instalovat a připojovat. Dokonce i výrobci, kteří do svých zařízení instalují dodatečná bezpečnostní opatření, nemají jejich aktivaci v základním nastavení a je třeba, aby je koncový uživatel sám zapnul.“

Oznámení japonské vlády o plánovaném testování IoT zařízení je dobrou připomínkou, že mnoho lidí aby se o své zařízení IoT nemuselo starat, obětuje ochranu soukromí. Vlastní vzdělávání ohledně využívaných zařízení už dávno není na pořadu dne, zejména ve Spojených státech. Je zajímavé, že není příliš pravděpodobné, že by podobné testování jako v Japonsku ustála americká vláda. Ironií ovšem je, že mnoho Američanů, kteří hluboce nedůvěřují své vládě, ochotně umožňuje nevládním společnostem, jako Facebook či Google, používat své údaje bez jakéhokoli odpovědnosti za jejich odhalení.

Zdroj: EETimes

Související příspěvky

Leave a Comment