Zabezpečení sítí IoT představuje obrovskou výzvu, protože ho ovlivňuje mnoho různých faktorů. Navíc, jak se zvyšuje počet připojených zařízení, zvyšuje se také složitost správy a zabezpečení sítě. Jedním z největších problémů, kterému organizace při řešení komplexního zabezpečení svých ekosystémů čelí, je správa identit a přístupů (Identity and Access Management, IAM). Článek popisuje několik klíčových faktorů, které třeba při návrhu strategie IAM pro sítě IoT brát v úvahu.
IAM se netýká pouze lidí
Správa identit a přístupů je součástí IT a obvykle se využívá pro poskytování jednotného přihlašování pro zaměstnance, partnery a zákazníky k podnikové síti a dalším zdrojům podniku. V dnešní době se to však již netýká jen lidí, ale také různých autonomních zařízení a aplikací. Stejně jako u lidí i nich musí být ověřována legitimita jejich požadavku a nastavena pravidla pro jejich připojování ke zdrojům podniku.
Nutnost spolehlivě řídit IAM se pak exponenciálně zvyšuje v případech, kdy jsou zařízení umístěna v terénu nebo na jiných vzdálených místech mimo areál podniku, kde mohou být vystavena potenciálnímu kybernetickému útoku nebo vyžadují monitorování a údržbu. Pokud jsou tato zařízení napadena, mohou být zneužita k proniknutí do podnikové sítě a poškození či odcizení citlivých dat. Aby bylo možné předcházet možným škodám, které mohou tato zařízení způsobit, je třeba kontrolovat jejich přístup. Zajištění bezpečného přístupu je obzvláště důležité pro společnosti, které provozují průmyslové řídicí systémy a kritickou infrastrukturu.
Uživatelská jména a hesla
Botnety, jako např. Mirai, identifikují zranitelná zařízení IoT pomocí tabulky s běžnými uživatelskými jmény a hesly nastavenými z výroby a přihlásí se do nich, aby je infikovali škodlivým softwarem. Zařízení zůstává infikovánu, dokud není proveden restart, což může zahrnovat jednoduché vypnutí a opětovné zapnutí zařízení. Pokud není po restartu přihlašovací heslo okamžitě změněno, bude zařízení po několika minutách opětovně infikováno. Řešení je tedy poměrně jednoduché, nepoužívat původní nastavení uživatelského jména a hesla a zajistit pravidla na jejich povinnou změnu. Po opětovném nakonfigurování s novými hesly pak musí být tato přihlašovací pověření uložena na zabezpečeném uložišti. Nemá smysl něco zamykat, pokud necháte klíče na stole. Navíc i výrobci již začínají řešit tento problém a přestávají používat univerzální výchozí hesla pro přihlášení zařízení nebo senzorů k síti během konfigurace.
Certifikace zařízení
Jedním z hlavních problémů IoT je počet nezabezpečených zařízení, které se připojují. Tato obvykle levná zařízení s omezenými funkcemi zabezpečení mohou být použita jako vstupní body do sítě, takže je důležité, aby byla jejich identita správně ověřena. V poslední době začínají poskytovatelé komunikačních služeb také vyžadovat, aby se k jejich sítím připojovala pouze certifikovaná zařízení. Jednou z takových iniciativ je program CTIA pro certifikaci počítačové bezpečnosti, který byl zahájen v srpnu roku 2018.
Aktualizace
Správci systému také musí zajistit, aby zařízení byla aktualizována, jakmile budou softwarové záplaty k dispozici a ne čekat až bude provedena naplánovaná pravidelná měsíční aktualizace operačního systému. Oblíbenou metodou pro získávání přístupu k organizacím je pro hackery využití zranitelných míst v softwaru. Vydání záplaty však může hackery zároveň upozornit na slabé místo v zařízení, takže je to často závod s časem, aby byla aktualizace provedena dříve, nežli se hacker rozhodne použít zařízení jako vstupní bod do sítě. Rovněž je důležité se ujistit, že softwarové záplaty jsou zasílány bezpečnou cestou (jsou šifrované a je kontrolována integrita dat) a na správné zařízení.
Zabezpečení znamená také být připraven
Podniky a poskytovatelé služeb musí přijmout krutou pravdu, že žádnou síť nebo službu IoT nelze absolutně zabezpečit. Jednoduše řešeno, čím jsou sítě větší a složitější, tím jsou také zranitelnější. To ovšem neznamená, že zainteresované strany nejsou zodpovědné za zajištění co nejvyšší úrovně end-to-end zabezpečení a realizaci pokynů standardizačních organizací jako NIST nebo ETSI (TS 103 645), včetně doporučení pro IAM.
Vždy je však třeba být připraven, že k útoku na zařízení dojde a že bude úspěšný a mít připravený plán reakce. Není příliš efektivní snažit se, aby síť byla trvale neproniknutelná, ale spíše funkčně robustní a dostatečně odolná, aby byla schopna odolávat útokům a zachovat si určitou úroveň funkčnosti. Důležitá je schopnost minimalizovat škody a zajištění efektivních pravidel pro IAM v tom může významně pomoci.
Jaroslav Hrstka
LITERATURA: [1] Josefsson, B.: Identity and access management is a top IoT security concern. TechTarget, IoTAgenda, 2019.
