20. 02. 2020 Téma: Bezpečnost v IoT

Jaká rizika jsou spojená s IoT a jak se jim můžete bránit

Dneska se podíváme blíže na bezpečnost u IoTV roce 2020 vypadá predikce následovně: IoT zařízeních připojených do sítě přesáhne 30 miliard a hodnota trhu se v minulém roce vyšplhala na 80 miliard dolarů. Tato dvě čísla budou v následujících letech neustále narůstat a s tím porostou i rizika

Jaká rizika jsou spojená s IoT a jak se jim můžete bránit

Očekává se, že globální trh vyroste až na 19 bilionů dolarů. Pro srovnání HDP celého světa je momentálně lehce nad 100 bilionů dolarů. Přibývá aut připojených na internet, elektronických doplňků, které na sobě dobrovolně nosíme. Stále přibývá “chytrých spotřebičů”, které máme rozmístěné po bytě a v neposlední řadě je tady výrobní průmysl, kterému IoT může ročně ušetřit 2,5 % až 5 % nákladů.

S tímto rozmachem IoT ale přichází i nová rizika. Přibývající zařízení představují i zcela novou paletu kybernetických útoků, které na nás číhají ve vodách internetu. Firmy zabývající se kybernetickou bezpečností nestíhají ochraňovat dnešní internet, natož se připravovat na rozšíření o miliardy nových cílů.

Hlavní problém je nedostatek kvalifikovaných odborníků na kybernetickou bezpečnost. Jsou vysoce žádaní a dobře placeni hlavně v soukromém sektoru v korporacích a samozřejmě i ve vládních agenturách. 

Všude vidíme a čteme, že sektor IoT bude další obor, ve kterém se budou točit biliony dolarů, a každá firma se snaží být u toho a ukrojit si vlastní kousek. To vede k rychlému rozvoji, tlaku na vývojáře, kteří v důsledku nemají čas zaměřit se také na zabezpečení IoT. Objevují se tedy opravdu elementární bezpečnostní nedostatky, které vedou například k tomu, že se několik stovek tisíc zařízení každý rok připojuje do botnetu a působí škody všude, kde se dá.

Různé IoT sektory, různá bezpečnostní rizika

Máme 3 kategorie do kterých můžeme IoT rozdělit. V každém sektoru hrozí jiný druh nebezpečí a následné zneužití, tak si je pouze v krátkosti projdeme, než se pustíme do jednotlivých rizik.

Spotřebitelský sektor

S ním má každodenní zkušenost většina z nás a s IoT zařízeními a aplikacemi, která v něm figurují, spolupracujeme každý den. 

Patří sem třeba

  • chytré telefony, hodinky 
  • domácí bezpečnostní systémy
  • hlasoví asistenti jako Google Home nebo Amazon Echo
  • dětské monitory, domácí kamery, chytré žárovky
  • termostaty, zvonky a dokonce i rychlovarné konvice
  • a spousty dalších...

Každý den podobná zařízení a aplikace vyprodukují neuvěřitelné množství dat, která se potulují po síti a skončí většinou v cloudu. Ve spotřebitelském sektoru jsou dva největší strašáci: připojení IoT zařízení do botnetu pro zvýšení výpočetního výkonu při útocích a samozřejmě strach z narušení soukromí a využití dat pro účely, se kterými jsme nesouhlasili.

Firemní sektor

Tady hraje IoT největší roli při snižování nákladů. Díky tomu se dostává do stále většího počtu firem a jejich sítí.

Patří sem mj.

Je pouze otázka času, kdy firemní sektor předstihne ten spotřebitelský. Každá firma, která má aspoň trochu tech-friendly vedení už o IoT uvažuje nebo dokonce už testuje. Chytrá zařízení, senzory a čidla jsou správný způsob, jak mít ve 21. století přehled a kvalitní data, která nám pomohou se lépe rozhodovat.

Bohužel ale špatně zabezpečená zařízení, síť nebo aplikace mohou způsobit větší škody než ve spotřebitelském sektoru. Hackeři potenciál vidí právě ve firemním sektoru, kde je mnohem větší počet zařízení a data jsou mnohem cennější.

Stává se, že na některá zařízení mohou firmy prostě jen zapomenout, nejsou aktualizovaná a, mají povolení na firewallu pro komunikaci se sítí. Stávají se z nich tzv. “Ghost devices”. Právě zde mohou mít hackeři větší šanci, že při úspěšném ovládnutí narazí na zlatý důl, který hledají.

Vládní sektor

Poslední sektor, který významně používá technologii internetu věcí je právě vládní sektor.

Patří sem mj.

Je toho samozřejmě mnohem více, ale pro orientaci to stačí. Vládní sektor má vždy nejvíce kritickou infrastrukturu. Ta může uškodit jak státu, tak i většině občanů. Ať už se jedná o narušení soukromí třetí stranou nebo falzifikací dat.

Jaká rizika tedy hrozí?

Samozřejmě s novou technologii a neustále přibývajícím počtem chytrých zařízení přichází i nová rizika. Projdeme si hlavní z nich.

IoT a soukromí

V poslední době často skloňované téma. Naše data mají pro firmy cenu zlata. Pro hackery to zase představuje snadný cíl a lehce nabyté peníze. Jak mohou v případě nejhoršího data využít?

Firmy zajímá hlavně to, jak lépe cílit reklamy a produkty na lidi, u kterých je pravděpodobné, že si produkt koupí. Jejich motivací jsou tedy hlavně legálně vydělané peníze. Naše data jim pomáhají vytvořit zákazníkům produkty nebo služby na míru.

Tady je příklad z reálného světa. Robotické vysavače umí mapovat byty pomocí dat ze senzorů a kamer v reálnem čase. Díky tomu znají rozlohu vašeho bytu včetně rozložení nábytku. Bez souhlasu prý firma data přeprodávat nebude, ale jak to funguje ve skutečnosti už víme.

U hackerů to je složitější. Ty hledají velké balíky dat, které následně přeprodávají právě firmám. Ve většině případů se jedná pouze o anonymizované údaje. Nikdo by tedy neměl poznat, že zařízení s ID XXX bylo vaše. To by hacker musel proniknout do databáze dodavatele a všechno pracně pospojovat. To ale „odměnu“ za balík dat nezvýší. 

Poslední možností je cílený útok. To normálním smrtelníkům nehrozí, pokud tedy nejsou hledaným zločincem nebo veřejně exponovanou osobou. 

bezpečnost IoT

Scénka ze seriálu Sillicon Valley, kde Gilfoy hacknul ledničku za 13k USD vůbec není sci-fi. Jen se to nedělá, tak okatě a v tichosti ledničku zapojí do botnetu, aby zvýšila výpočetní výkon při DDoS útocích. 

Horší to je u firem. Tam hacker dokáže vycítit zajímavý výdělek. Ať už půjde o vydírání nebo přeprodání dat určité skupině nebo konkurenci. Takový útok, ale zabere dost času a prostředků. V dnešním světě už mají hackeři mnohem jednodušší způsoby, jak získat více peněz za méně muziky.

Obavy o soukromí

Ve vládním sektoru je z pohledu našeho soukromí největší riziko právě bezpečnostní kamerový systémy. Ty jsou umístěné na náměstích, v rušných ulicích nebo na křižovatkách a dálnicích, kde poctivě sbírají veškeré záznamy, které pak ukládají na cloudová úložiště. 

Pamatujete, kdy se neznámý hacker naboural do takové sítě a změnil poznávací značky a obličeje vyměnil za alzáka? Teď si představte, že by hacker místo toho posílal falešné pokuty. Určitě by uplynulo minimálně pár měsíců nebo i let, než by se na takový případ přišlo. 

bezpečnost IoT 2

zdroj: autoforum.cz

Jak tedy bránit soukromí?

To je dobrá otázka. Bohužel ne všechny aspekty můžeme ovlivnit. Sami na sebe se můžeme spolehnout leda ve spotřebitelském sektoru. Tam si sami vybíráme, u jaké firmy zařízení koupíme. Je tedy žádoucí si výrobce proklepnout na internetu, jestli nemá nějaké kostlivce ve skříni.

Je také víc než doporučeníhodné prostudovat všeobecné podmínky. Zní to nudně, ale právě tady těch kostlivců najdete nejvíc. Dozvíte se i to, jak jsou chráněná vaše data, jak jsou ukládána a hlavně jaká data se vlastně sbírají.

Důležité je ověřit i práva aplikace a vědět, kam všude má přístup. Opravdu si najděte čas a všechny důležité aspekty prověřte. Tato zařízení jsou “chytrá”, protože sbírají velké množství dat. Vašich dat. Proto se opravdu vyplatí věnovat pořádnému průzkumu i pár hodin.

Pokud už zařízení máte, tak jsou ještě 3 rady, které pomohou s ochranou vašich dat:

  1. Antivirový software na PC/mobilu/tabletu – detekuje škodlivé aplikace nebo podivné chování na vašem zařízení
  2. Používejte VPN – pomůže se šifrováním dat, ať už jste doma nebo na veřejné wi-fi
  3. Silná a unikátní hesla – klasické klišé, ale stále aktuální. Hlavně na zařízeních nenechávejte hesla nastavená od výrobce nebo hesla, která se dají lehce odhadnout.

Jak ochránit firemní IoT infrastrukturu?

Samozřejmě pomohou rady napsané výše, ale pro opravdové zabezpečení firemní infrastruktury je toho potřeba mnohem víc. 

Nejdůležitější je mít nastavené procesy hned od začátku a mít jasno v několika oblastech

  • Jaké zabezpečení/certifikát budeme vyžadovat?
  • Jak budeme přidávat nová zařízení?
  • Kde budeme mít informace o všech zařízeních?
  • Kam budou posílat data?
  • Kdo k nim bude mít přístup?
  • Jak a kdo bude řešit aktualizace?
  • Jak budeme monitorovat síť?
  • Co budeme dělat v případě narušení?

To jsou nejdůležitější z otázek, na které by se ve firmách měli najít odpovědi. Samozřejmě ne každá firma má in-house odborníky. Proto existují české i zahraniční firmy, které vám pomohou s nasazením nebo auditem současného IoT řešení z pohledu bezpečnosti.

Firmy mají největší zodpovědnost, protože shromažďují velké množství dat, a měly by se podle toho chovat. Ty, které zanedbávají své povinnosti najdete často na stránce: Have I Been Pwned?

Ještě dobrý příklad z reálného světa je z Yahoo. Řekli byste si, že tak velká firma bude bezpečnost brát vážně a bude mít kvalifikovaný tým. Kvalifikovaný tým opravdu měla, přazdívala jim “paranoid team” a jejich požadavky a nápady spíše uklízeli pod stůl.

Jak to dopadlo? V roce 2013 jim uniklo přes 1 miliardu e-mailů se jmény, telefonními čísly, hesly a dalšími osobními daty. Člověk by si řekl, že se poučí a začnou brát paranoidní tým vážně. O rok později ale museli ohlásit další únik, tentokrát 500 milionů účtů. Vše najdete posané třeba na Wikipedii.

Botnet

Hlavní riziko je připojení vašeho IoT zařízení do botnetu, kde plní příkazy „majitele”. Taková zařízení pomáhají s DDoS útoky - tj. zahlcování sítě obrovským počtem nesmyslných požadavků. To je jejich hlavní účel. Zařízení má ale pod kontrolou útočník. Nemusíte se bát, že by botnet naschvál vypnul třeba detektor kouře. Potřebuje ho spíš k tomu, aby měl co největší počet zařízení on-line, skrze které bude odesílat zmiňované nesmyslné požadavky a tím získal „větší sílu”. 

Horší to je u kamer, kde útočník získá přístup ke kamerovým záznamům.

Jak se bránit proti botnetu?

  • provádějte aktualizace hned, jak vyjdou
  • bezpečná konfigurace na síti vč. firewallu a monitoringu
  • vyhraďte síť čistě pro IoT zařízení – díky segmentaci sítě můžete poté izolovat malware, který pronikl přes obranu
  • a ještě jednou silná a unikátní hesla – slovníkové útoky jen tak z módy nevyjdou, tak je dobré být připraven

Pro spotřebitele bude stačit provádět pravidelně aktualizace a mít silná hesla. To by mělo riziko výrazně snížit. U firem to je mnohem náročnější a doporučujeme kontaktovat firmu, která se specializuje na obor kybernetické bezpečnosti. Určitě vás nasměruje a poradí postupy pro vaše konkrétní potřeby.

Výpadek elektřiny

Pokud se nejedná o bezpečnostní zařízení, které nepotřebuje být připojené do elektrické sítě, je tohle bohužel největší problém a strašák IoT. Jakmile vypadne elektřina, tak se najednou „chytrá“ zařízení stanou naprosto „hloupými a nepoužitelnými”. 

Připravte si proto vždy radši plán B v případě výpadku. Důležité to je hlavně u chytrého zámku u vchodových dveří. V případě výpadků se totiž bez plánu B nedostanete dovnitř.

Riziko krádeže IoT zařízení

I když jsou chytrá zařízení každým rokem dostupnější, stále mají jednotlivé senzory, čidla i měřiče svoji hodnotu. To bohužel zvyšuje riziko krádeže, pokud jsou zařízení viditelná. 

Rozhodně, ale neexistuje gang zlodějů, který by se specializoval pouze na krádeže IoT zařízení. V domech a bytech jsou a vždycky budou hodnotnější věci než tyto zařízení.

Sabotáž

Hacknuté zařízení umožní útočníkům přístup k jeho funkcím. S takovým kávovarem vám útočník přinejhorším udělá tak kafe. U dalších zařízeních to bohužel taková legrace být nemusí.

Například autonomní vozidla. S ním může útočník napáchat velké materiální škody nebo dokonce ohrozí posádku vozidla a další lidi. Kromě testů se ještě žádný takový případ zatím neobjevil, ale s čím dál tím větším počtem aut s připojením na internet o tom můžeme v budoucnu začít slýchat.

Například Tesla nebo Google jsou si podobných rizik vědomí a berou zabezpečení vážně. Krom toho, že zaměstnávají špičkové odborníky, vypisují třeba odměny pro jednotlivce, kteří v jejich produktech najdou zranitelnosti a nahlásí je.

Kam se obrátit pro více informací?

Věříme, že jste se v dnešním článku dozvěděli, více o potenciálních rizicích v IoT. 

Doufáme, že jsme vás inspirovali natolik, abyste náš portál sledovali i v budoucnu. Dozvíte se o spoustě dalších zařízeních, která nám budou usnadňovat život. Vývoj jde stále dopředu a s ním i IoTport.cz 

Jsme portál, který shromažďuje dodavatele a novinky na jednom místě. Ať máte snadný přístup k informacím i dodavatelům.

Jestli máte jakékoliv dotazy ohledně bezpečnosti v IoT, tak můžete napsat přímo nám info@iotport.cz nebo se obrátit na některého z našich IoT partnerů

Zkonzultujte bezpečnost svého IoT řešení

 

Články na podobné téma
Jak na kybernetickou bezpečnost. Chytře a rychle

Jak na kybernetickou bezpečnost. Chytře a rychle

Jak splňovat zákon o kybernetické bezpečnosti? Ano, ani IoT se tomuto stále probíranému fenoménu nevyhne. A mnohá IoT řešení se musí vypořádat například s GDPR.
2020-07-21
Odhalili jsme 7 mýtů o bezpečnosti v IoT

Odhalili jsme 7 mýtů o bezpečnosti v IoT

Jak je to s bezpečností v případě internetu věcí (IoT)? Odhalte s námi 7 mýtů kolem tohoto tématu. Pojmu internet věcí nebo Internet of Things (IoT) je všude plno. Pokroky v tomto oboru mění naše…
2019-12-01