Zajištění bezpečnosti IoT

Internet věcí neboli IoT (z anglického Internet of Things) je velmi se rozvíjejícím dynamickým odvětvím. Podle odhadu analytiků Gartner bude do roku 2021 používáno na 25 miliard připojených zařízení a do konce roku 2025 jich bude 75 miliard. V důsledku zvýšení počtu zařízení se dramaticky zvětší objem zpracovávaných dat. Současná doba „koronavirová“ pak tento proces ještě urychluje. Otázka zajištění bezpečnosti IoT se tak stává rozhodující.

Antonín Šefčík, NGSS

Zajištění bezpečnosti zařízení zařazovaných do Internetu věcí (IoT) je věcí občas diskutovanou a málokdy řešenou. Zařízení IoT se soustřeďují zejména na zajištění dostupnosti a kompatibility, k čemuž také směřují prováděné komerční certifikace zařízení.

Zajištění bezpečnosti zařízení IoT naráží na stejné problémy jako každá jiná bezpečnost, a to na snahu investovat co nejméně prostředků a neznalost nebo pohodlnost uživatelů. Tato kombinace pak vytváří nebezpečný koktejl, v kterém se smíchá potenciálně miliony nezabezpečených zařízení. Málokdo si přitom uvědomuje, že skoro každý z nás vlastní nějaké zařízení komunikující s vnějším světem, které je možné zneužít.

Rizika mohou být od prostého zneužití zařízení až po jeho převzetí. Příkladem může být zneužití kamer v domácnostech útočníky, využití domácích asistentů pro Botnet útoky, ale i automatické vysavače, předávající údaje z domácností na domovskou centrálu. Vzhledem k tomu, že zařízení IoT jsou kromě pro osobní potřebu využívána také v průmyslu, při rozvoji měst a ve zdravotnictví, možná rizika představují jak finanční ztráty, tak ohrožení života.

V současné době je řešení bezpečnosti IoT na počátku, nicméně situace se postupně zlepšuje. Objevují se první normy, a to zejména ve formě dobrovolných kodexů (Velká Británie a Austrálie) a národních a mezinárodních norem. Zatímco norma ISO/IEC 27030 je teprve na začátku, připravovaná americká norma NIST (NISTIR 8259) byla dána k diskuzi již ve druhé verzi. I Evropská unie připravuje návrh své normy k bezpečnosti IoT (ETSI TS 103 645 V1.1.1). Iniciativy k zajištění bezpečnosti, a to zejména po stránce technické, probíhají i na straně konsorcií a vybraných velkých společností.

Nejedná se však jen o normy, dva americké státy již přijaly legislativu vztahující se k zajištění bezpečnosti IoT. V Kalifornii byl přijat zákon SB 327, který má za cíl zajistit bezpečnost zařízení IoT. Zákon nařizuje, aby každý výrobce zařízení IoT zajistil, že zařízení má „rozumné“ bezpečnostní funkce, které „chrání zařízení a informace v něm obsažené před neoprávněnou manipulací nebo zničením“. Dále vyžaduje, aby připojená zařízení měla jedinečná hesla, která mohou uživatelé měnit. Obdobný zákon přijal stát Oregon.

Podobné kroky byly oznámeny v loňském roce ve Velké Británii, kdy byl zveřejněn úmysl vydat zákon k zajištění bezpečnosti IoT. Zákon má navazovat na již existující doporučení „The UK Code of Practice for Consumer IoT Security“, které upřesňuje ve 13 bodech požadavky na bezpečnost zařízení IoT. Samotný zákon má zakotvit, že zařízení IoT budou využívat jedinečná hesla, výrobci IoT produktů poskytnou kontaktní místo jako součást politiky zpřístupnění zranitelnosti a výrobci budou uvádět, po jakou dobu budou pro zařízení zajišťovat aktualizace.

Zajímavým počinem je příprava normy NIST (NISTIR 8259), která se mimo jiné snaží, aby veškeré zabezpečení odpovídalo významu chráněného zařízení IoT. Norma rozděluje opatření do celkem 6 aktivit, které jsou realizovány před zavedením zařízení IoT do prodeje a v průběhu jeho užívání. Aktivity zahrnují jednoznačnou identifikaci zařízení, bezpečnou konfiguraci, ochranu dat v zařízení, řízení přístupu k rozhraní, aktualizaci SW a firmware a hlášení o stavu zařízení. Velký význam je kladen na zjištění potřeb uživatele a komunikaci s ním. Současně je počítáno s tím, že bezpečnostní opatření budou doplňována v závislosti na tom, kde je zařízení užíváno (např. jako součást kritické infrastruktury).

Shrneme-li dosavadní vývoj, tak tendence jsou jednoznačné – směřovat hlavní odpovědnost na výrobce zařízení tak, aby uživatel dostal zařízení, které umožňuje zajistit určitou úroveň bezpečnosti a uživatel má zajištěnu tuto podporu i po dobu užívání zařízení. Některá legislativní opatření (jedinečné heslo) pak nahrazují i „neochotu“ uživatele základní hesla měnit. Dobrým směrem je cesta NISTu zaměřit se na potřeby uživatele a kombinaci opatření zaváděných výrobcem s osvětou.

Jak tedy zajistit bezpečnost IoT? Na nic nečekat a využít již existující postupy pro řešení bezpečnosti, a to zejména provedení analýzy rizik, stanovení bezpečnostních požadavků a přijetí příslušných opatření. Toto musí jít ruku v ruce s použitím zařízení obsahujících alespoň základní bezpečnostní možnosti. Stejně důležité je pak vzdělávání uživatelů. Iniciace vzniku příslušné legislativy a úpravy stávajících metodik podporující vznik „chytrých“ měst jsou pak možným završením celého procesu.