Je to již více než deset let, kdy byly v rámci Internetu věcí (IoT) realizovány první aplikace a od té doby se neustále rozrůstá. Je však IoT již dostatečně vyvinutý a vyspělý? Nepředstavuje tento rychlý rozvoj ve skutečnosti ničivou sílu a skutečně nepotřebuje IoT už nic pro zajištění své pozice na trhu? A co je potřeba pro IoT ještě třeba udělat, aby se více rozrůstal, a co je důležitější, bude tento růst dlouhodobě udržitelný?
Pojem IoT je znám už téměř dvacet let, nicméně jeho větší rozvoj začal teprve nedávno. Základním pravidlem při zabezpečení systémů vůči různým zranitelnostem je udržovat tento systém co nejjednodušší, bohužel díky připojování stále více věcí a zařízení se IoT stává více a více komplikovaný. A čím složitější architektura, tím obtížnější je zabezpečení všech potenciální děr, které může obsahovat.
Tento problém se ještě násobí, když vezmeme v úvahu využívání proprietárních protokolů, což vede k závislosti na určitých výrobcích a fragmentaci technologií IoT. Zabezpečení však nelze omezovat pouze na protokoly, protože data mohou být zcizena různými způsoby. Tyto způsoby mohou zcela triviální, např. prostřednictvím phishingu, přes slabá hesla nebo systémové závady, anebo mohou být značně sofistikované, jako je využití skrytého kanálu pro optický přenos dat, napadení dohledových kamer vybavených LED nebo krádeže dat bajt po bajtu ze záhlaví TCP pokaždé, když jsou odesílány uživatelské informace. Je obtížné vypořádat se všemi bezpečnostními aspekty, ale pokud by byly používány zjednodušené protokoly a nástroje schopné překonat různorodost typů zařízení, bezpečnostní mechanismy IoT budou také mnohem jednodušší.
Mnoho společnosti a standardizačních organizací spojilo své síly ve společném úsilí o sjednocení fragmentovaného prostředí IoT prostřednictvím vytvoření technologie, která by odpovídala potřebám průmyslových odvětví a stala se standardem, který by používal každý. Jedním takovým standardem, který začal v poslední době získávat na popularitě, je Lightweight M2M (LwM2M) vypracovaný v rámci OMA SpecWorks.
Tento standard se využívá pro management zařízení, aktivaci služeb či pro telemetrii. Je navržen speciálně pro zařízení s omezeným přístupem, jako jsou senzory a aktuátory a funguje efektivně prostřednictvím NB-IoT, LTE Cat M1 i dalších sítí LPWAN. Rovněž je třeba zmínit, že standard se neustále vyvíjí a muže být využit nejen pro zařízení s nízkou spotřebou, ale obecně pro všechna zařízení komunikující přes IP. Navíc nejnovější verze LwM2M 1.1 dovoluje mimo jiné zpracovat i data, která nevyužívají protokol IP. Tento standard zahrnuje také vysoké požadavky na zabezpečení prostřednictvím protokolu DTLS (Datagram Transport Layer Security, je založen na protokolu TLS), který je využíván protokolem CoAP (Constrained Application Protocol), což je IoT protokol pro bezpečné propojení věcí. Více informací o tom, jak je řešeno zabezpečení IoT v rámci standardu LwM2M poskytuje „Overcoming security challenges and gaining interoperability with LwM2M device management“.
Kromě využívání proprietárních technologií problematiku zabezpečení IoT výrazně ovlivňují ještě další dvě věci, a to snaha o co největší ekonomičnost a nadměrně optimistický návrh zabezpečení, který vychází z nedotažené legislativy a snahy co nejrychleji dostat produkt na trh.
V případě ekonomičnosti je důvodem nedostatečného zabezpečení překvapivě velká popularita IoT, která má za následek nespočetné množství projektů, z nichž mnohé trvají jen krátce. Možnost aktualizace firmwaru vzduchem (Firmware Over-The-Air, FOTA) je pro management zařízení klíčovým prvkem, protože dovoluje odesílat aktualizace a záplaty a díky tomu udržovat potřebnou úroveň zabezpečení. Bohužel neúspěšné nebo zkrachovalé společnosti ponechávají zařízení bez možnosti aktualizace firmwaru nebo softwaru. Je tedy jen otázkou času, kdy někdo využije potenciálních bezpečnostních děr a získá přístup k takovému zařízení. Tady to však bohužel nekončí. Po získání přístupu k zařízení je dalším krokem jeho využití k získání přístupu k celému systému, který jednotlivá zařízení propojuje.
Navíc mnoho startupových společností, které se do oblasti IoT zapojují, bývá během jednoho až dvou let prodáno, a to výhradně pro zisk. U obchodního modelu typicky orientovaného na zisk je bezpečnost prostě neekonomická (protože je drahá), tak proč s ní ztrácet čas.
Projekty zavádění aplikací IoT zahrnují mnoho kroků, a tak máme často tendenci zapomínat, že za bezpečnost nejsou odpovědní jen výrobci zařízení. Síťoví operátoři i vývojáři aplikací stejně jako poskytovatelé služeb, ti všichni se podílejí na vytváření ekosystému IoT. Obvykle se jedná o různé společnosti v rámci jednoho projektu, které jsou odpovědné za určité oblasti či jednotlivé kroky. Při návrhu architektury obvykle nikdo nechce převzít zodpovědnost za zajištění zabezpečení (nebo za něj utrácet peníze). Tento postoj má pak za následek, že např. na síťové nebo aplikační úrovni není zajištěna adekvátní ochrana. V nejhorším případě pak není zajištěno zabezpečení na vůbec žádné úrovni.
Nedostatečná legislativa znamená často nedostatečné zabezpečení IoT. Podle průzkumu společnosti Ponemon Institute mohou napadená zařízení způsobit vážné finanční škody. Tato zpráva (2018 Cost of a Data Breach Study) zpracovávaná každoročně společností Ponemon Institute a sponzorovaná společností IBM se snaží přesně určit, jaké finanční ztráty by společnosti po celém světě mohli utrpět díky ztraceným a ukradeným datům. Průměrné celkové náklady za únik dat pro rok 2018 jsou odhadovány na 3,86 milionů dolarů, což je o 6,4 % více než v roce 2017. Jedním z hlavních faktorů, které stojí za tímto nárůstem, je rozsáhlé využívání zařízení IoT. Jak vidno unik dat je skutečně nákladný a výrobci zařízení, vývojáři aplikací a všichni ostatní, kteří nějak podílejí návrhu architektury IoT, by měli investovat do zabezpečení. Společnosti, které čelili útokům DDoS dobře ví, proč zvyšují své investice do zabezpečení, zejména poté co byli ohrožovány podobnými útoky jako botnet Mirai.
Dalším důsledkem špatného zabezpečení IoT je ztráta důvěry zákazníků. Zákazníci nebudou ochotní nakupovat služby IoT, pokud uslyší, že zařízení nejsou dostatečně zabezpečena. Bydlet v inteligentní domácnosti by bylo jistě pohodlné, ale mnoho lidí se obává, že jejich zařízení mohou být napadeny. Kdo by chtěl žít v domácnosti, kde vás odposlouchávají mikrofony, sledují kamery a dokonce ani lednička či toustovat nejsou důvěryhodné. I když to na první pohled nemusí vypadat realisticky, mnozí uživatelé se domnívají, že by se to mohlo skutečně stát. Na druhé straně, tento nedostatek důvěry neodrazuje mnoho lidí, aby tato IoT řešení využívali.
Minulý rok provedla společnost Cisco průzkum zahrnující 3000 respondentů a zjistila, že i když většina lidí zabezpečení IoT nedůvěřuje, přesto považuje využívání inteligentních zařízení za výhodné. Je obtížné pochopit tento poměr výhodnosti využívání IoT na jedné straně a nedůvěry v zabezpečení IoT na straně druhé. V konečné důsledku tak převažuje silná víra uživatelů, že odpovědnost za zabezpečení zařízení nespočívá na nich.
Naštěstí existuje několik možností, jak tyto bezpečnostní hrozby IoT řešit. I když uživatelé si obvykle neuvědomují nebezpečí, která představují inteligentní zařízení, pro průmyslové odvětví IoT s globální obchod je to horké téma. Jedním z možných řešení zabezpečení IoT je použití výše uvedených standardů.
Existuje také další řešení, i když zabere nějaký čas, a to vzdělávání. Stejně jako v době popularizace Internetu si vlády uvědomují, jak vysoké jsou sázky a začínají vzdělávat jak uživatele, tak podniky o rizicích, které sebou může nést nedostatečné zabezpečení v rámci IoT. Vzdělávání je úzce spojené se standardizací a přísnější legislativou. To můžeme vidět v rámci vydávání různých nařízeních o ochraně údajů, organizování programů na zvýšení povědomí o zabezpečení IoT či různých kurzů pořádaných různými univerzitami a institucemi po celém světě.
Zatímco v průmyslových odvětvích se vyžadují rychlá řešení, vzdělávání (což je spíše dlouhodobé řešení problému) je něco, co lze provést společně s dalšími řešeními, jako povinnost společností stanovit bezpečnostní požadavky IoT a vybudovat ekosystém IoT v souladu se zavedenými standardy.
Internet věcí se v podnikatelském světě stal velmi rychle jedním z nejžhavějších témat. Až donedávna byl jeho rozvoj poněkud asymetrický, přičemž zabezpečení bylo vážně zanedbáváno. Naštěstí snahy o realizaci potenciálu IoT vedou také k urychlení procesu řešení bezpečnostních hrozeb IoT. Není proto příliš pravděpodobné, že by neschopnost určit stranou zodpovědnou za zabezpečení IoT nebo neekonomičnost mohly zastavit další rozvoj IoT.
Zdroj: RCR Wireless News
Redaktor: Jaroslav Hrstka
