Jak zajistit IoT
Obrázek 1: Kodex praxe pro ochranu spotřebitele proti internetu Zdroj: Odbor digitální kultury, médií a sportu
IoT se rozšiřuje, přičemž v současné době využívá IoT přibližně 66% organizací a přibližně 17 miliard zařízení.
Analytická společnost Gartner věří, že výdaje jsou způsobeny nárůstem z odhadovaných 1,5 miliardy dolarů v roce 2018 na více než 3 miliardy dolarů do roku 2020 s odhadem 30 miliard zařízení, což do roku 2025 vzrostlo na 75 miliard.
Až donedávna existovalo jen málo standardů nebo předpisů pro kybernetickou bezpečnost zařízení a systémů internetu věcí. Tradiční podnikové informační a kybernetické přístupy, jako je ISO 27001 a rámec kybernetické bezpečnosti NIST, byly navrženy pro podniky, a přestože jsou relevantní, neposkytují zaměřené pokyny potřebné pro účinnou bezpečnost internetu věcí.
Počítačové incidenty IoT
Dalším problémem je, že ve spěchu vyvíjet a uvádět na trh zařízení IoT mnoho z těchto produktů postrádalo účinná bezpečnostní opatření. V důsledku toho je velké množství nasazených řešení nejisté a mají otevřené bezpečnostní chyby.
Průzkum Gartner 2018 zjistil, že téměř 20% organizací za poslední tři roky zaznamenalo alespoň jeden útok založený na IoT. Jednalo se v roce 2016 o botnet Mirai, který ohrožoval zranitelná zařízení, jako jsou kamery CCTV a domácí směrovače, a byl používán k provádění řady útoků distribuovaného odmítnutí služby (DDoS), včetně jednoho na některých základních internetových službách, což vedlo k tomu, že služby byly uživatelům v Evropě a USA.
V dalším útoku byla zákaznická data odcizena z kasina přes nezabezpečený internetový teploměr v nádrži na ryby.
Brickerbot malware v uplynulých letech infikoval zařízení IoT, která mají slabé zabezpečení a přepisují firmware náhodnými daty, což činí zařízení nepoužitelnými.
Mnohonásobná obrana
V září 2018, Kalifornie schválila zákon, který říká, že každý výrobce zařízení, které se připojuje přímo nebo nepřímo k internetu, musí jej vybavit „rozumnými“ bezpečnostními prvky, které mají zabránit neoprávněnému přístupu a úpravám. Federální zákonodárci v USA mají připraveno nejméně pět návrhů legislativních návrhů v oblasti kybernetické bezpečnosti.
EU vydala pokyny a osvědčené postupy v oblasti osvědčených postupů a v říjnu vydalo britské ministerstvo kultury, médií a sportu Kodex osvědčených postupů pro ochranu spotřebitele před internetovými spotřebiteli. To podporuje 13 pokynů pro vhodnou bezpečnost internetu věcí (Obrázek 1).
V širší EU zveřejnila agentura ENISA (Agentura Evropské unie pro bezpečnost sítí a informací) základní bezpečnostní doporučení pro internet věcí, se zvláštním zaměřením na kritické vnitrostátní infrastruktury. Iniciativy průmyslu zahrnovaly Kodex praxe Nadace IoT Security Foundation, která poskytuje základ pro testování a certifikaci bezpečnosti internetu věcí.
I když se jedná o skvělý začátek, problémem je, že zejména v EU nejsou tyto postupy povinné. Regulační orgány musí vypracovat, jak mohou být účinné normy a postupy uplatňovány pragmaticky. Úkolem výrobců zařízení IoT je zajistit, aby produkty byly „zabezpečeny designem a standardně“.
Z historického hlediska bylo odvětví pomalu přijímáno bezpečnostní standardy, což vedlo k potřebě regulace. S takovým aktivním trhem mohou dodavatelé přeměnit bezpečnost na náklad a na konkurenční výhodu. Nepřijetí osvědčených postupů dobrovolně povede k nadměrné reakci, přičemž bude zavedena restriktivní a přísná regulace. Ačkoliv formální akreditace nebo certifikace internetu věcí je určitým způsobem mimo, dodavatelé by měli své produkty a služby sami certifikovat. Neexistuje žádná omluva pro dodavatele, aby poskytovali zařízení a systémy s nevyzkoušenou bezpečností.
Spotřebitelé internetu věcí musí být také náročnější na bezpečnostní požadavky, které od výrobků očekávají, a být připraveni ověřit si, co jim nabízí. To poskytne poskytovatelům skutečné pobídky k zahrnutí bezpečnosti podle návrhu a jako výchozí.
Obrázek 2: Zajištění důvěry a bezpečnosti v internetu věcí
Dokonce iv případě, že jsou jednotlivé produkty zabezpečeny nebo certifikovány, nemusí být řešení typu end-to-end vždy bezpečné. Organizace, které integrují nebo využívají řešení IoT, budou muset být stále spokojeny s tím, že jsou zajištěny. To zahrnuje porozumění bezpečnostním a obchodním rizikům, zajištění koncové bezpečné architektury a provádění testů, které splňují všechny požadavky na ochranu osobních údajů (obrázek 2).
IoT nabízí jasné obchodní výhody, ale výrobci, spotřebitelé a regulační orgány musí nyní jednat, aby poskytli odpovídající zabezpečení.
