Całkiem niedawno opisywaliśmy na naszym blogu czym jest IoT (artykuł możesz przeczytać tutaj). Przybliżaliśmy wtedy ogólną tematykę jak i nasze działania związane z tą branżą. W tym tekście skupiamy się na zagrożeniach i zabezpieczeniach urządzeń w sieci. Internet Rzeczy wkracza w nasze życie w coraz szybszym tempie. Sterowanie oświetleniem czy klimatyzacją z pozycji smartfona powoli staje się codziennością. Również wiele firm coraz chętniej wprowadza do swoich procesów rozwiązania, jakie daje IoT (mowa tu o tzw. Przemysłowym Internecie Rzeczy, czyli IIoT – Industrial Internet of Things). Według najnowszych prognoz do 2027 roku do sieci ma być podłączone 41 mld urządzeń IoT. Choć niewątpliwie Internet Rzeczy stwarza ogromne możliwości, nie da się ukryć, że może on również przynieść całkiem nowe zagrożenia. Warto więc być świadomym, jakie niebezpieczeństwa mogą wiązać się z użytkowaniem systemów IoT.
Zagrożenia
Ataki hakerskie
Rozległa sieć połączonych za pomocą Internetu urządzeń stwarza wiele okazji dla ataków hakerskich. Im więcej tego typu urządzeń, tym większa przestrzeń, która potencjalnie może zostać zaatakowana. Wystarczy, że atakujący włamie się do jednego z takich urządzeń, a w jednej chwili uzyskuje dostęp do całej sieci i danych, jakie przez nią przepływają. Stwarza to realne zagrożenie zarówno dla pojedynczych osób, jak i całych przedsiębiorstw.
Utrata danych
To właśnie utrata danych jest jednym z najczęściej wymienianych zagrożeń, jakie niesie za sobą Internet Rzeczy. Niewłaściwe przechowywanie wrażliwych danych takich jak imię i nazwisko, PESEL czy numer karty płatniczej mogą narazić nas na poważne niebezpieczeństwo. Takie dane mogą zostać wykorzystane w niepożądany dla nas sposób (np. zaciągnięcie kredytu, kradzież pieniędzy). Ponadto na podstawie danych zbieranych przez domowe urządzenia IoT atakujący w prosty sposób może poznać zwyczaje domowników. Może być to np. informacja o godzinach, w których nikt nie przebywa w domu, co może umożliwić mu skuteczne przeprowadzenie włamania.
Atak botnetowy
Kolejnym z zagrożeń jest ryzyko włączenia urządzenia IoT do tzw. botnetu, czyli sieci urządzeń zainfekowanych złośliwym oprogramowaniem, które hakerzy wykorzystują do przeprowadzania różnego rodzaju ataków. Najczęściej spotykanym atakiem botnetowym jest atak typu DDoS (ang. Distributed Denial of Service). Polega on na połączeniu się z daną stroną WWW wielu urządzeń jednocześnie, co może doprowadzić do jej czasowej niedostępności. Innym przykładem działania botnetu jest wykorzystanie zainfekowanych urządzeń do przesyłania spamu lub wytwarzania kryptowalut. Wszystkie te ataki są przeprowadzane w sposób niezauważalny dla właściciela urządzenia. Wystarczy, że klikniemy w link pochodzący z nieznanego źródła, który może zawierać złośliwe oprogramowanie, a nieświadomie stajemy się częścią ataku botnetowego.
Ataki na roboty i maszyny
Z punktu widzenia przedsiębiorstw, istotnym zagrożeniem mogą być ataki na roboty i maszyny przemysłowe, które są podłączone do sieci. Przejęcie sterowania nad urządzeniami tego typu może spowodować poważne szkody dla firm. Hakerzy mogą na przykład zmienić parametry produkcyjne jakiegoś komponentu w taki sposób, że nie będzie on od razu możliwy do wychwycenia, ale spowoduje jego dalszą bezużyteczność. Atakujący mogą również spowodować zakłócenia w pracy maszyn, czy przerwy w dostępie energii. Działania te są poważnym zagrożeniem dla firm, które mogą ponieść z tego tytułu ogromne straty finansowe.
W jaki sposób możemy się zabezpieczyć?
Choć całkowite wyeliminowanie niebezpieczeństw wynikających z użytkowania technologii IoT wydaje się być póki co niemożliwe. Istnieją jednak rozwiązania, które możemy wdrożyć w celu zwiększenia bezpieczeństwa swoich urządzeń. Poniżej przedstawiamy kilka z nich.
Silne hasło
Ważnym aspektem w kwestii bezpieczeństwa urządzeń Internetu Rzeczy jest hasło. Bardzo często użytkownicy używają prostych haseł, zawierających dane, które są łatwe do zidentyfikowania (np. imię, czy data urodzenia). Często też zdarza się, że hasło jest takie samo do kilku urządzeń, przez co łatwiej jest uzyskać do nich dostęp. Zdarza się również, że użytkownicy nie zmieniają standardowego hasła, jakie ustawia producent danego urządzenia. Istotne jest zatem, aby hasło nie było oczywiste. Coraz częściej producenci wymuszają na użytkownikach stosowanie silnych haseł. Ustawiają oni warunki, jakie hasło musi spełniać, tj. duże i małe litery, cyfry i znaki specjalne. Jest to zdecydowanie bardzo dobra praktyka, która może zwiększyć bezpieczeństwo w sieci.
Aktualizacja systemu
Kolejnym sposobem jest regularna aktualizacja oprogramowania wykorzystywanego przez urządzenia IoT. Jeżeli producenci wykryją jakąś lukę w swoich zabezpieczeniach, będą mogli uchronić użytkowników przed potencjalnym atakiem dostarczając im nową wersję oprogramowania, która eliminuje wykryte podatności. Najlepiej, jeśli urządzenie jest ustawione na automatyczną aktualizację systemu. Wówczas możemy mieć pewność, że urządzenie zawsze działa na najnowszej wersji oprogramowania.
Zabezpieczona sieć domowa
Zabezpieczenie sieci domowej jest równie ważne, co ustawienie silnego hasła dostępu. Również w tym przypadku zaleca się zmianę pierwotnego hasła, ustawionego przez dostawcę routera. Dodatkowo domowa sieć Wi-Fi powinna korzystać z szyfrowanego połączenia, jakim jest WPA2-PSK.
Konsumpcyjny umiar
Przed zakupem danego urządzenia dobrze jest się zastanowić, czy jest nam ono rzeczywiście niezbędne, czy być może traktujemy to bardziej jako fajny gadżet. Pamiętajmy, że każde kolejne urządzenie IoT w naszym otoczeniu zwiększa ryzyko potencjalnego ataku. Dlatego też kupujmy tylko te urządzenia, które są nam naprawdę potrzebne.
Zabezpieczenia producenta
Oprócz wymienionych wyżej działań, które powinny zostać podjęte przez użytkowników Internetu Rzeczy ważne jest, aby również producent urządzenia dbał o jego zabezpieczenia. Po jego stronie leży szyfrowanie komunikatów sieciowych, które zabezpiecza przechwytywanie danych podczas ich transportu. Najczęściej stosowanym zabezpieczeniem jest protokół TLS (ang. Transport Layer Security), którego celem jest właśnie zabezpieczenie danych, które przesyła się przez sieć. Ponadto producent urządzenia powinien regularnie sprawdzać swoje zabezpieczenia, dzięki czemu będzie w stanie wychwycić ewentualne luki i je wyeliminować. Dobrze też, aby urządzenia od początku były zabezpieczone przed automatycznym łączeniem z otwartymi sieciami publicznymi.
W czerwcu 2019 roku ustanowiono Akt ws. cyberbezpieczeństwa (Cybersecurity Act), który ma na celu wzmocnienie cyberbezpieczeństwa państw należących do UE. Reguluje on podstawowe wymagania, jakie muszą spełniać produkty łączące się z siecią, co przyczynia się do zwiększenia bezpieczeństwa tych urządzeń. Szybki rozwój IoT sprawia, że podobnych regulacji będzie więcej, co znacznie wpłynie na utrzymanie globalnego cyberbezpieczeństwa.
Podsumowanie
Pojawienie się technologii IoT przyniosło ogromną rewolucję, zarówno dla pojedynczych osób jak i całych przedsiębiorstw. Choć Internet Rzeczy przynosi wiele korzyści i ułatwień, trzeba być również świadomym, że może on powodować zagrożenie dla bezpieczeństwa naszych danych, czy nas samych. Warto jednak pamiętać, że stosowanie się do kilku przytoczonych przez nas zasad może znacząco wpłynąć na zwiększenie bezpieczeństwa posiadanych urządzeń IoT.
Bibliografia
[1] https://www.businessinsider.com/internet-of-things-report?IR=T
[2] https://medium.com/read-write-participate/minimum-standards-for-tackling-iot-security-70f90b37f2d5
[3] https://www.cyberdb.co/iot-security-things-you-need-to-know/
[4] https://www.politykabezpieczenstwa.pl/pl/a/czym-jest-botnet