Nový standard pro zabezpečení zařízení IoT

IoT security

Produkty a zařízení připojené k internetu musí být navrženy tak, aby byly schopné čelit různým počítačovým hrozbám, protože jinak budou ohrožovat soukromí spotřebitelů a budou moci být zneužívána k rozsáhlým kybernetickým útokům typu DDoS. Aby bylo možné tento problém efektivně řešit, vydal před nedávnem Evropský institut pro telekomunikační standardy (ETSI) Technickou specifikaci 103 645, která stanovuje základní požadavky pro zabezpečení produktů spotřební elektroniky připojené k Internetu věcí (IoT).

TS 103 645 zahrnuje soubor technických požadavků, z nichž žádný nejde nad rámec základního zabezpečení, ale jejich rozsah zdůrazňuje důležitost zabezpečení zařízení připojeného k internetu. Řádné zabezpečení musí být zahrnuto po celou dobu životních cyklu zařízení, tj. od fáze návrhu až do konce životnosti zařízení. Zabezpečení realizované pouze prostřednictvím záplat je naprosto nedostačující.

Nový standard uvádí celkem 13 základních požadavků, a to:

1. Nepoužívat žádná univerzální výchozí hesla

Všechna hesla v zařízeních IoT musí být jedinečná a musí být zajištěno, že je nebude možné resetovat na univerzální tovární nastavení. Mnoho IoT zařízení se prodává s univerzálními výchozími uživatelskými jmény a hesly (např. „admin, admin“), což zdrojem mnoha bezpečnostních problémů. Tato praxe musí skončit. Doporučuje se využívat osvědčené postupy týkající se hesel a dalších metod ověřování pravosti. Zabezpečení zařízení je třeba posílit prostřednictvím používání jedinečných a nezaměnitelných identit.

2. Implementovat prostředky pro správu hlášení o bezpečnostních zranitelnostech

Společnosti poskytující zařízení a služby spojené s internetem by měli v rámci politiky zpřístupnění informací o zranitelnostech zřídit veřejné kontaktní místo, kam by výzkumní pracovníci v oblasti zabezpečení a další osoby mohli hlásit různé problémy. Díky tomu budou tyto společnosti moci neustále sledovat, identifikovat a napravovat chyby v zabezpečení svých produktů a služeb jako součást životního cyklu.

3. Udržovat aktualizovaný software

Tomuto požadavku je ve standardu věnována největší pozornost, takže by měl být považován za jedno z nejdůležitějších bezpečnostních opatření, která je třeba zavést. Aktualizace softwaru je důležitá bez ohledu na to, zda byly zjištěny nějaké chyby, bezpečnostní zranitelnosti nebo zda je zařízení využíváno či nikoliv. V rámci standardu jsou stanoveny tyto požadavky:

  • Všechny softwarové komponenty spotřebních zařízení IoT musí být možné bezpečně aktualizovat.
  • Uživatel by měl být např. výrobcem nebo poskytovatelem služeb informován, že je potřeba provést aktualizaci.
  • Aktualizace musí být včasné, což závisí na stupni závažnosti.
  • Pokud lze softwarové komponenty aktualizovat, musí být zveřejněny informace o konci životnosti zařízení, tj. minimální doba, po kterou budou aktualizace softwaru poskytovány a důvody délky podpory. Tyto informací musí zveřejněny způsobem, který je pro uživatele jasný a transparentní.
  • Pokud lze softwarové komponenty aktualizovat, musí být uživatelé jasně informování o potřebě každé aktualizace. Vývoj a realizace aktualizací zabezpečení softwaru je jednou z nejdůležitějších činností, jak může společnost zajistit ochranu svých zákazníků a celého technického ekosystému. Chyby zabezpečení často pramení ze softwarových komponentů, které nejsou považovány za související s bezpečností. Je tedy nanejvýš vhodné, aby byl aktualizován veškerý software v zařízení (tj. firmware, operační systém, služby, aplikace, atd.).
  • Během aktualizace musí být k dispozici základní funkce zařízení. Pro uživatele může být důležité, aby zařízení fungovalo i během procesu aktualizace. Z toho důvodu se doporučuje „zachovat základní fungování zařízení“ tam, kde je to možné. To se týká zejména zařízení, která zajišťují nějakou bezpečnostní funkci. Očekává se, že i během aktualizace bude zachována minimální funkčnost systému.
  • Doporučuje se, aby aktualizace a bezpečnostní záplaty byly odesílány přes zabezpečený kanál, protože mechanismus aktualizace může představovat vektor útoku.
  • V případě zařízení, kde není možné aktualizovat software, by měl být produkt izolovatelný a hardware vyměnitelný.
  • U zařízení, kde nelze aktualizovat software (nebo jen zčásti), by informace týkající se důvodů neexistence aktualizací softwaru, doby podpory výměny hardwaru a konce životnosti zařízení měly být zveřejňovány způsobem, který je pro uživatele jasný a transparentní. Například podrobně popsal harmonogram, kdy budou technologie muset být nahrazeny či kdy končí podpora hardwaru a softwaru.

Pro zajištění těchto požadavků může být implementováno několik různých mechanismů pro aktualizaci softwaru s otevřeným zdrojovým kódem. Jeden z nejpopulárnějších je Mender.io. Nicméně vývoji vlastní metody aktualizace je vždy třeba věnovat velkou pozornost.

4. Bezpečné ukládání pověření a citlivých dat

Pověření a citlivá data musí být na zařízení ukládána do zabezpečeného úložiště. Nelze využívat napevno zadaná pověření v softwaru zařízení.

Pomocí metod reverzního inženýrství lze snadno odhalit pověření, jako jsou uživatelská jména a hesla naprogramovaná v softwaru. Jednoduché metody obfuskace (zmatení), které se také používají k zakrytí nebo zašifrování těchto informací, mohou být snadno prolomeny. Pro zabezpečení citlivých dat by mělo být využito bezpečné úložiště, např. důvěryhodné spouštěcí prostředí (Trusted Execution Environment, TEE) nebo čipové karty typu UICC/eUICC (Universal Integrated Circuit Card UICC/embedded Universal Integrated Circuit Card).

5. Zajistit bezpečnou komunikaci.

Veškerá citlivá data, včetně vzdálené správy a řízení, by měly být během přenosu šifrovány a rovněž by měly být zabezpečeny všechny používané šifrovací klíče. Očekává se, že produkty budou odpovídat požadavkům uživatelů, přičemž současně budou dostatečně odolné vůči prolomení šifrování. Vhodnost kontroly zabezpečení a použití šifrování však závisí na mnoha faktorech včetně kontextu použití. Vzhledem k tomu, že zabezpečení se neustále vyvíjí, je ohledně šifrování obtížné něco doporučovat.

6. Minimalizovat možnosti kybernetického útoku

„Princip nejnižších privilegií“ je základem dobrého bezpečnostního inženýrství, který je aplikovatelný na IoT stejně jako kdekoliv jinde. To zahrnuje následující doporučení:

Nepoužitý software a síťové porty by měly být izolovány:

  • Hardware by neměl být zbytečně vystavován útoku (např. otevřený sériový přístup, porty nebo testovací body).
  • Pokud nejsou softwarové služby používány, neměly by být dostupné.
  • Velikost kódu by měl být optimalizována na funkčnost potřebnou pro provoz služby/zařízení.
  • Software by měl s ohledem na bezpečnost a funkčnost mít jen nezbytná oprávnění.

7. Zajistit integritu softwaru

Software na zařízeních IoT by měl být ověřován pomocí bezpečných bootovacích mechanismů, které vyžadují kořenovou důvěryhodnost hardwaru. Pokud je zjištěna neautorizovaná změna softwaru, zařízení by mělo na problém upozornit uživatele nebo správce.

V případě, že je lokálně uložená poslední ověřená verze softwaru, lze bezpečně vzdáleně obnovit původní software zařízení. Tím se zamezí odmítnutí služby a předejde nákladnému volání nebo návštěvě údržby, přičemž se současně sníží riziko možného převzetí zařízení útočníkem, který provedl neautorizovanou aktualizaci nebo jinak napadl mechanismy síťové komunikace.

8. Zajistit ochranu osobních údajů

Výrobci zařízení i poskytovatelé služeb musí uživatelům poskytnout jasné a transparentní informace o tom, jak jsou jejich osobní údaje používány, kým a pro jaké účely, a to pro každé zařízení a službu. Pokud jsou osobní údaje zpracovávány na základě souhlasu uživatelů, musí být tento souhlas získán platným způsobem. Uživatelé také musí mít možnost kdykoliv souhlas zpracováním svých osobních údajů zrušit.

Předpokládá se, že příslušný subjekt, tj. poskytovatel služeb nebo výrobce zařízení, zajistí, aby byly osobní údaje zpracovávány v souladu s platnými právními předpisy o ochraně osobních údajů (např. GDPR) a také v souladu s platnými právními předpisy týkajícími se bezpečnosti a regulace. Získání souhlasu „platným způsobem“ znamená, že uživatel musí mít možnost jasné a svobodné volby, zda mohou být jeho osobní údaje použity pro specifické účely. Uživatelé také očekávají, že jim budou poskytnuty prostředky, které jim umožní ochránit své soukromí pomocí konfigurace zařízení IoT a funkcí služby.

9. Zajistit vyšší odolnost systému vůči výpadkům

V případě aplikací, kde je vyžadována vysoká spolehlivost, by zařízení IoT měla mít zabudované mechanismy pro zajištění vyšší odolnosti vůči výpadků datových sítí a napájení. Pokud je to rozumně možné, služby IoT měly zůstat funkční nebo místně funkční v případě výpadku sítě a měly by se bez problémů obnovit v případě obnovení napájení. Zařízení by měla být schopna se opětovně připojit do sítě v řádném provozním stavu.

Cílem těchto opatření je zajistit, že služby IoT budou správně fungovat, včetně funkcí, které jsou důležité pro osobní bezpečnost. Například pokud dojde k výpadku internetu u připojených dveří, zůstanou zamčeny a vy se nedostanete domů nebo systém vytápění domácnosti, který se může vypnout kvůli útoku DDoS proti cloudové službě. Mohou platit i další předpisy týkající se bezpečnosti, ale základem je vyhnout se výpadkům internetu a napájení a navrhnout produkty a služby tak, aby na to byly připravené.

10. Ověřování telemetrických dat

Pokud zařízení nebo služby IoT shromažďují telemetrická data, jako jsou informace o využívání nebo různá měření, měla by být ověřována z hlediska bezpečnostních anomálií. Zpracování osobních údajů by mělo být omezeno na minimum a tato data by měla být anonymizována. Navíc uživatelům musí být poskytnuty informace o tom, jaká telemetrická data jsou shromažďována a za jakým účelem.

Zkoumání telemetrie, včetně dat o logování, je užitečné pro hodnocení bezpečnosti a umožňuje včasné rozpoznání neobvyklých okolností a jejich řešení, minimalizaci bezpečnostních rizik a rychlé zmírnění problémů.

11. Usnadnit uživatelům smazání osobních údajů

Zařízení a služby by měly být konfigurovány tak, aby z nich mohly být snadno odstraněny osobní údaje, pokud si to uživatel přeje, v případě převodu vlastnictví nebo při likvidaci zařízení. Uživatelé by měli mít jasné pokyny, jak smazat své osobní údaje a jasné potvrzení, že k jejich smazání opravdu došlo.

Vlastnictví zařízení IoT se může často měnit, než je nakonec zlikvidováno nebo recyklováno. Proto musí existovat mechanismy, které uživatelům umožní odstranit své osobní údaje ze zařízení služeb a aplikací. Když si uživatel přeje zcela odstranit svá osobní data, je třeba také předpokládat, že budou existovat záložní kopie, které může uchovávat poskytovatel služby.

Smazání osobních dat ze zařízení nebo služby obvykle nelze provést jednoduchým resetováním zařízení zpět na tovární nastavení. Důvodem je, že existuje mnoho případů použití, kdy uživatel není vlastníkem zařízení, ale chce smazat svá osobní data ze zařízení i všech souvisejících služeb, jako jsou cloudové služby nebo mobilní aplikace.

12. Snadná instalace a údržba zařízení

Instalace a údržba zařízení IoT by měla zahrnovat co nejmenší počet jednotlivých kroků a měla by se řídit osvědčenými postupy v oblasti nastavení zabezpečení. Uživatelé by také měli mít k dispozici jasný návod, jak bezpečně svá zařízení nakonfigurovat. Problémy se zabezpečením způsobené chybným nastavením lze zmírnit a někdy i eliminovat díky zajištění rozumné míry složitosti a správného návrhu uživatelských rozhraní a také poskytnutím jasných pokynů, jak bezpečně konfigurovat zařízení.

13. Ověřovat vstupní data

Data vstupující do zařízení přes uživatelská rozhraní nebo přenášená přes rozhraní pro programování aplikací (API) nebo mezi sítěmi ve službách a zařízeních musí být ověřována. Systémy mohou být narušeny nesprávně formátovanými daty nebo kódy přenášenými přes různé typy rozhraní. Kybernetický útok bývá často veden přes potenciální mezery a zranitelnosti automatizovaných zařízení, které se objevují, když není provedeno ověření dat. Například je očekáván textový soubor a přijde spustitelný kód nebo naměřená hodnota teploty je mimo rozsah teplotního senzoru.

Na závěr zmiňme, že v dodatku TS 103 645 je tabulka určující, které požadavky nebo jejich jednotlivá ustanovení mají být závazná a která jsou pouze doporučována. Zde tedy krátce shrňme ta závazná:

  • Nepoužívat žádná univerzální výchozí hesla (1).
  • Zřídit veřejné kontaktní místo, kam by výzkumní pracovníci v oblasti zabezpečení a další osoby mohli hlásit různé problémy (2).
  • Pokud lze softwarové komponenty aktualizovat, musí být zajištěna včasná aktualizace a musí být jasně a transparentně zveřejněny informace o konci životnosti zařízení (3).
  • Pověření a citlivá data musí být na zařízení ukládána do zabezpečeného úložiště (4).
  • Zajistit ochranu osobních údajů (8).
  • Pokud jsou shromažďována telemetrická data, musí být uživatelům poskytnuty informace o tom, o jaká data se jedná a za jakým účelem jsou shromažďována (10).
  • Data vstupující do zařízení musí být ověřována (13).

Jaroslav Hrstka

Související příspěvky

Leave a Comment