Odhalili jsme 7 mýtů o bezpečnosti v IoT

Mýtus 1: Malá IoT zařízení nemají dostatečnou kapacitu baterie pro účinné zabezpečení

Už na začátku osmdesátých let byly 8bitové čipy 8 MHz s pouhými 2 KB RAM schopny implementovat kryptografii Elliptic Curve Cryptography (ECC) s délkou klíče 256 bitů. Za ECC se skrývají asymetrické kryptografické systémy, které využívají operací na eliptických křivkách na koncových tělech. Ty jsou stejně silné, jako kryptografie RSA s délkou klíče 2 048 Bit, které se v USA používají pro tajné informace bezpečnostních služeb. Tento klíčovací proces spotřebuje tak málo energie, že by jedna tužková baterie vydržela hodinové signování nebo ověřování dat po dobu dvaceti let.

Mýtus 2: Bezpečnost je příliš komplikovaná, obzvlášť u internetu věcí. Člověk nikdy nemůže vyhrát

Je pravdou, že efektivní zabezpečení nemůže procházet hladkou cestou. Jako se většina domů skládá z mnoha zdí, stropů a podlah, skládá se i efektivní IoT zabezpečení z řady rozhodujících stavebních kamenů:

• Klíčování k ochraně autentifikace a možná také k ochraně důvěrnosti dat.
• Kryptografická verifikace jakéhokoliv kódu a konfigurace, než bude možné kód rozklíčovat.
• Externí bezpečnostní experti ručí za bezpečné prostředí, aby se minimalizovala slabá místa a mezery v zabezpečení.
• Funkce vzdálené bezdrátové správy, jako je inventarizace a aktualizace softwaru, telemetrie a správa zásad pro agilní zabezpečení.
• Bezpečnostní analýza pro detekci a boj proti pokročilým útokům, jako jsou Advanced Persistent Threats (APT), které často zůstávají bez povšimnutí a nespouští žádný alarm.

Tyto jednoduché přísady útoky co nejvíce zkomplikovat a prodražit tak aby, se útočníkům nevyplatily.

Mýtus 3: IoT zařízení nejde průběžně aktualizovat

Aktualizace se u mnoha zařízení a IoT senzorů jeví samozřejmě jako komplikovaná – u některých koncových stanic a v některých sítích je ale v zásadě možná. Jsou samozřejmě technologie nebo standardy, u nichž je update problematický – např. BLE tagy. Je potřeba počítat i s tím, že některé IoT sítě jako Sigfox, které jsou asymetrické a hlavní tok dat směřuje jen od zařízení do ven. Ale na druhou stranu jsou i technologie, které s aktualizacemi počítají. Průmyslové systémy jsou v průměru používány 19 let; i auta a lékařské přístroje jsou konstruovány tak, aby vydržely desítky let. V současné době sledujeme, že výrobci vydávají aktualizace pro několik desítek let stará zařízení, protože se zákazníci spoléhají na jejich integritu. Stejný efekt vidíme u lékařských přístrojů, bankomatů, pokladních systémů, přístrojů v drobných prodejnách a nyní dokonce u automobilů.

Mýtus 4: Pro množství propojených zařízení je bezpečnost příliš drahá

Při velkém množství zasíťovaných zařízení vyjde zabezpečení každého z nich často na pár korun. Proto by firmy neměly na prevenci šetřit. Riziko poškození dobré pověsti nebo finanční ztráty je příliš vysoké.

Mýtus 5: Bezpečnostní brány, Air Gaps a segmentace sítí poskytují dostatečné zabezpečení

Téměř všechny propojené systémy mají svá slabá místa, která jejich tvůrci možná neznají, odkrývají je však kreativní hackeři. To ukazují červi jako Stuxnet, kteří kromě kritické infrastruktury narušili také vybavení vojenských nebo zpravodajských služeb. V loňském roce došlo k útoku na vysokou pec jedné německé ocelárny pomocí bezpečnostní brány, která byla navržena k ochraně operační sítě. Bezpečnostní brány pomáhají redukovat rizika, neposkytují však dostatečnou ochranu. To platí také pro tzv. Air Gaps (počítače, které kvůli bezpečnosti nejsou připojené k internetu, ani lokální síti a postrádají bezdrátové komunikační technologie), VLAN a další opatření, která od sebe oddělují jednotlivé sítě. Firmy by měly zevnitř posilovat vysoce kvalitní systémy a nespoléhat se na účinnost výše zmiňovaných technik.

Mimochodem v této oblasti se evidentně fantazii meze nekladou. Řekli byste například, že pomocí laseru můžete převzít kontrolu nad Siri, Alexou nebo Google asistentem? Jestli chcete vědět jak, Dan Goodin na arstechnica.com poměrně podrobně popsal, jak výzkumníci v tomto experimentu postupovali

Mýtus 6: Naše systémy jsou velmi neprůhledné a komplexní. Hackeři v nich nemůžou najít žádnou skulinu

Ocelárny, úpravny vody, energetické sítě, továrny, elektrárny a nespočet dalších systémů byly také napadeny kvůli této naivní víře, resp. nedostatečnému povědomí o bezpečnosti. Říká se tomu „security by obscurity“ a upřímně – nefunguje to.

Mýtus 7: Svůj bezpečnostní systém dokážu vystavět sám

Historie a nejnovější novinové titulky kolem úniku dat a hackerských útoků jsou plné firem, které se snažily zajistit bezpečnost na vlastní pěst. Žádná firma a žádný jednotlivý poskytoval nedokáže odrazit všechny útočníky. Obránci musí spolupracovat. Firmy by si proto měly nechat poradit od externích odborníků a měly by jim zajistit přístup k síti příslušných partnerů v oblasti hardwaru, softwaru a cloudových služeb a dbát na to, aby měli dostatečné specifické průmyslové zkušenosti.