Internet věcí otvírá dveře inovativním přístupům a službám ve všech odvětvích. Současně ale pro své uživatele a provozovatele představuje nové bezpečnostní riziko. Zdá se, že tempo zavádění internetu věcí (IoT) značně převyšuje úsilí, jež dodavatelé i jejich zákazníci věnují otázce souvisejícího zabezpečení.
Na konci roku 2020 odhadovali analytici společnosti Gartner, že je celosvětově v provozu 5,8 miliardy koncových zařízení internetu věcí. Nejvíce jich nachází uplatnění v energetice (1,37 miliardy) a v oblasti fyzické bezpečnosti (1,09 miliardy). Nejrychleji ale přibývají v automatizaci budov, automobilovém průmyslu a ve zdravotnictví. Meziročně jejich počet vzrostl o více než pětinu. V průměrné organizaci se koncové body IoT podílely na celkové množině zařízení připojených ke komunikační síti necelou jednou třetinou.
Stav bezpečnosti rozmáhajícího se světa internetu věcí dokreslují analytici týmu Unit 42 společnosti Palo Alto Networks. Podle jejich zjištění probíhá 98 procent veškeré komunikace internetu věcí bez šifrování. Osobní anebo důvěrná data uživatelů se bez této elementární ochrany stávají mnohem přístupnější. Navíc téměř tři pětiny koncových zařízení IoT obsahují střední až vysoce závažné zranitelnosti. Mezi nejpostiženější kategorie se v této souvislosti řadí medicínská zobrazovací technika (51 %), bezpečnostní kamery (33 %), monitorovací systémy pacientů (26 %) anebo tiskárny (24 %).
5,8
miliardy koncových zařízení internetu věcí bylo podle odhadu analytiků společnosti Gartner na sklonku loňského roku celosvětově v provozu. Nejvíce jich nachází uplatnění v energetice (1,37 miliardy) a v oblasti fyzické bezpečnosti (1,09 miliardy). Nejrychleji ale přibývají v automatizaci budov, automobilovém průmyslu a ve zdravotnictví. Meziročně jejich počet vzrostl o více než pětinu.
Kybernetičtí útočníci cílí na instance internetu věcí v podstatě celým arzenálem technik. V souhrnném přehledu firmy Palo Alto Networks ze známějších typů chybí snad jen útoky DoS a DDoS (distributed denial of service). Dvacet šest procent škodlivých aktivit se zaměřuje na chování uživatelů, 33 procent operuje s malwarem a 41 procent sází na exploity, jež využívají zranitelnosti zařízení a systémů.
„Podle průzkumu, který provedli bezpečnostní experti z našeho oddělení Unit 42, může být 57 procent zařízení IoT zranitelných vůči útokům střední nebo vysoké závažnosti,“ říká Miloš Hrnčár, viceprezident společnosti Palo Alto Networks pro východní Evropu.
Hlavní rizika
„V současné době je celosvětově nově aktivováno každý den přibližně milion zařízení IoT. Už jen samo rozšíření určité platformy tedy představuje významné riziko. Kvalifikovaný útočník má velmi silnou motivaci se na ni zaměřit a samozřejmě tato situace s sebou nese také vyšší riziko zranitelností,“ říká Ondřej Šťáhlavský, ředitel společnosti Fortinet pro region střední a východní Evropy, a doplňuje: „Na straně druhé jsou velkým rizikem i sami uživatelé, kteří mohou klást bezpečnost internetu věcí na nižší úroveň a vystavit tak útočníkovi vstupenku k přístupu do sítě a potažmo k důležitým datům nebo funkcím.“
Zkušenost z praxe zohledňuje při identifikaci hlavních rizik Miloš Hrnčár ze společnosti Palo Alto Networks: „Hlavní riziko spočívá v tom, že u mnoha zařízení internetu věcí je bezpečnost často řešena až dodatečně, místo aby byla zahrnuta do jejich počátečního návrhu.“ Zařízení IoT mohou fungovat jako vstupní body do sítě organizace, takže je důležité, aby jejich zabezpečení bral každý podnik vážně.
„Zařízení internetu věcí jsou obecně více zranitelná a zároveň neumožňují jejich provozovatelům bezpečnost vylepšit kvůli poměrně nízké spravovatelnosti a upravitelnosti operačních systémů či firmwarů,“ říká k problematice hlavních bezpečnostních rizik internetu věcí Lubomír Galatík, business unit manager HPE Aruba ve společnosti Hewlett Packard Enterprise. „Ve vaší síti se pak nacházejí zařízení, která se dají jen velmi těžko bezpečnostně zhodnotit a přijmout dostatečná opatření.“ Jediné, co následně zbývá, je maximálně je izolovat od všeho ostatního, na což nemusí být správci IT dostatečně připraveni.
„Jedním z hlavních rizik je, že některá zařízení internetu věcí bývají dostupná z internetu. Útočníci toho mohou využít k průniku do firemní sítě. Jak se zvyšují počty a prohlubuje využití zařízení IoT ve firmách, roste i náročnost udržet všechna tato zařízení pod kontrolou. Ideálním řešením bývá implementace principu nulové důvěry (žádné zařízení, které žádá o přístup do firemní sítě, není považované za důvěryhodné a je při každém takovém pokusu kontrolováno − pozn. red.),“ rozšiřuje paletu klíčových rizik Miroslav Kořen, generální ředitel společnosti Kaspersky pro region střední a východní Evropy. To potvrzuje i Ondřej Šťáhlavský ze společnosti Fortinet: „I v případě IoT je důležité implementovat v co největší možné míře bezpečnostní přístup zvaný zero trust, který říká, že nemůžeme věřit nikomu a ničemu a musíme se podle toho k těmto zařízením chovat.“
Bezpečnost v kybernetickém prostoru samozřejmě utváří řada faktorů, z nichž jen část tvoří samotné technologie či technika v podobě aplikací a zařízení. V případě internetu věcí tomu nebude jinak. Zdá se ale, že technika a programové vybavení zařízení internetu věcí hrají v jeho bezpečnosti prioritní roli. „Každý rok se k internetu připojí miliardy nových zařízení IoT a dohlédnout na všechna slabá místa a kybernetická rizika bude poměrně náročný úkol. Klíčové je přitom získání přehledu − nemůžete zabezpečit to, co nevidíte,“ dodává Miloš Hrnčár ze společnosti Palo Alto Networks.
Rizika v ekosystému IoT
Nejviditelnější součást implementací internetu věcí tvoří jeho fyzická zařízení. A právě jejich různorodost, obvykle vysoký počet výrobců i platforem, vzbuzují řadu obav. „Výrobci zařízení internetu věcí hrají jednu z klíčových rolí v bezpečnostním ekosystému,“ říká Ondřej Šťáhlavský ze společnosti Fortinet a dodává: „Bezpečnost by měla být povinnou a nedílnou součástí už samotného návrhu dané technologie. To se ale v praxi bohužel dost často neděje. Dalším rizikem jsou pak sami uživatelé, ať už jednotlivci, nebo firmy, kteří ne vždy kladou IoT zařízení z hlediska zabezpečení na úroveň klasických či tradičních prostředků informačních technologií a přehlížejí i jejich vzájemnou propojenost.“
Analogický pohled na roli výrobců zařízení internetu věcí předkládá i Miloš Hrnčár ze společnosti Palo Alto Networks: „Výrobci, designérské týmy a vývojáři by měli kybernetickou bezpečnost zvažovat a řešit již od počáteční fáze návrhu. To umožňuje odhalit bezpečnostní problémy a předcházet jim co nejdříve již v procesu návrhu.“
Různorodá úroveň zabezpečení či péče o ni se zpravidla odvíjí od pořizovací ceny. Hodnota zařízení internetu věcí se pohybuje v širokém rozmezí od několika málo korun až po desítky milionů. „V propojeném světě může být senzor za desetikoruny připojen k síti za desítky miliard. Nemůžeme očekávat stejné investice do bezpečnostních opatření, když se hodnota prostředků IoT tak výrazně liší. Navíc tyto malé a levné senzory jednoduše nemají dostatečnou kapacitu pro vestavěné zabezpečení,“ doplňuje Miloš Hrnčár. „Většina dodavatelů na trhu IoT v současnosti prochází velmi dynamickým obdobím, a tak se zkrátka na bezpečnost samotných produktů nelze plně spoléhat,“ dodává k tématu ekosystému IoT Lubomír Galatík ze společnosti Hewlett Packard Enterprise. „Klíčovou roli hrají správci sítí a kybernetické bezpečnosti dané společnosti. Ti musí nasadit efektivní a modernizované přístupy k zabezpečení a mikrosegmentaci řešení internetu věcí.“
Bezpečný přístup k IoT
Problematiku bezpečnosti internetu věcí samozřejmě nelze zužovat pouze na jeho koncová zařízení. „Důležité je nejen zabezpečení zařízení, když sjede z výrobní linky, ale také rizika a zabezpečení IoT v reálném nasazení. Zaměření pouze na bezpečnost zařízení nebere v úvahu další oblasti, jako je způsob konfigurace, síť a další zařízení, ke kterým je připojeno, nebo podnik, ve kterém se používá,“ vysvětluje Miloš Hrnčár ze společnosti Palo Alto Networks. Firmy by podle něho měly zajistit školení svých zaměstnanců, aby následně mohly podnikat kroky k prevenci nebo minimalizaci bezpečnostních rizik.
Kromě ochrany před hackerskými útoky je v případě IoT zapotřebí dbát také na ochranu fyzickou. „Pokud se některá zařízení nacházejí delší dobu v odlehlejší lokalitě a nejsou řádně zabezpečena, existuje riziko, že s nimi může někdo neoprávněně manipulovat,“ upozorňuje Miroslav Kořen ze společnosti Kaspersky.
Jak vybírat IoT pro osobní potřebu
Internet věcí má v praxi svou spotřebitelskou a průmyslovou či podnikovou podobu. Lze předpokládat, že první svět více spoléhá na výchozí nastavení, druhý se s pouhým příslibem bezpečnosti nespokojí. „Jedním z hlavních kritérií výběru služeb a zařízení IoT pro osobní potřebu by měla být reputace a historie výrobce daného zařízení. Produkt koupený od oficiálního prodejce a renomovaného výrobce na tom bude s bezpečností rozhodně lépe než zařízení bezejmenného výrobce z asijského on-line obchodu,“ říká Ondřej Šťáhlavský ze společnosti Fortinet a dodává: „Pokud uživateli záleží na soukromí a bezpečnosti, měl by zároveň zvážit i investici do zařízení, které mu celý jeho IoT ekosystém ochrání komplexně. A to platí zejména v případě, kdy jsou do sítě zapojena nejen osobní, ale i firemní zařízení, ať už v rámci samotného podniku, či při dnes hojně využívané práci z domova.“
Stáhněte si přílohu v PDF
Také další oslovení experti se shodují, že výběr zařízení by měl být podřízen kreditu, stabilitě a dlouhodobé perspektivě daného výrobce a jeho konkrétního řešení. „Důležité je si vybrat dodavatele, kteří v dané oblasti působí dlouhodobě. Pak je šance, že zákazníkem zakoupený produkt bude mít alespoň nějaký výhled na vývoj hardwaru, ale hlavně aktualizaci firmwaru,“ říká Lubomír Galatík ze společnosti Hewlett Packard Enterprise.
V oblasti řešení internetu věcí pro domácnosti je dnes většina produktů řízena či monitorována z cloudu, což má nepochybně své výhody, ale je to samozřejmě zároveň velké lákadlo pro hackery. „Doporučil bych vybírat si řešení těch silných a velkých firem, které své produkty a cloudové služby dokážou maximálně dobře zabezpečit a u nichž je hrozba hackerským útokem tak velké reputační riziko, že udělají maximum, aby se mu vyhnuly. Dále bych se také poohlížel po řešeních, která jsou schopna fungovat i bez dostupnosti cloudové služby jako takové. Poslední, co chcete, je nemoci si v noci rozsvítit jen kvůli nedostupnosti cloudu,“ dodává Galatík.
Článek byl publikován ve speciální příloze Hospodářských novin ICT revue.
