IoT technologie – neocenitelný pomocník, nebo bezpečnostní hrozba?

Internet věcí – IoT – je pojem, se kterým se setkáváme stále častěji. Označuje se tak síť propojených zařízení, která jsou schopná komunikovat a vzájemně si vyměňovat data prostřednictvím internetu. To umožňuje sběr a analýzu velkého množství dat a lepší kontrolu – ale také to vede ke vzniku rizik spojených s kybernetickou bezpečností nebo bezpečností PZTS. A právě tomuto aspektu se budeme věnovat na následujících řádcích.

Než se hlouběji ponoříme do bezpečnostních hledisek, pojďme si napřed IoT technologii blíže představit a popsat.

Co je IoT?

Jak už jsme v úvodu zmínili, termínem IoT (Internet of Things – internet věcí) označujeme koncept propojených zařízení s internetovou konektivitou. Jednoznačná definice neexistuje, jde spíše o zastřešující ustálené sousloví.

IoT technologie umožňuje, aby byla různá zařízení propojená a kontrolovaná přes internet (případně jiné sítě), což zlepšuje jejich integraci do automatizovaných systémů. Ačkoli tato zařízení ještě nejsou jednotně propojená (tj. jediným standardním komunikačním protokolem), IoT zvyšuje efektivitu, přesnost a ekonomickou výhodnost, přičemž snižuje nároky na uživatele.

Zařízení v rámci IoT mohou zahrnovat široký rozsah předmětů – od zdravotnických implantátů po automobily se senzory. Tato technologie, která se stává součástí širší kategorie „kyber-fyzických“ systémů, umožňuje sběr a analýzu dat z mnoha míst a následné provádění akcí na základě získaných informací. Rychlý vývoj IoT vede k produkci velkého množství dat, což vyžaduje efektivní zpracování, ale zároveň se zvyšují rizika v oblasti kybernetické bezpečnosti.

IoT technologie – podmnožiny a druhy zařízení

Jak už jsme naznačili výše, IoT zařízení (IoT hardwaru) existuje nepřeberné množství a v různých kategoriích. My si pro zjednodušení představíme pouze tři základní:

1. IoT zařízení pro koncové uživatele a domácnosti

Spadají sem nejrůznější „nositelnosti“ (telefony, hodinky, náramky), ale i vybavení chytré domácnosti nebo IoT technologie v chytrých vozech.

Uveďme si několik příkladů, abyste měli přesnější představu:

smartphony, smartwatch
chytré žárovky a spotřebiče
domácí IP kamery
některé prvky domácích zabezpečovacích systémů (kamery, IoT čidla ad.)
hlasoví asistenti

V této oblasti patří mezi rizika IoT technologie napadení a zařazení jednotlivých zařízení do botnetu a narušení soukromí – ať už prostřednictvím získaného videofeedu z kamer, nebo obecně využívání získaných dat způsobem, ke kterému uživatel neposkytl informovaný souhlas.

2. Iot zařízení pro firmy a soukromý sektor

Masivní nasazení IoT čidel a hardwaru ve firmách se očekává s implementací tzv. Průmyslu 4.0 (čtvrté průmyslové revoluce), která počítá s masivní digitalizací, automatizací a robotizací. Příkladem konkrétní aplikace může být prediktivní údržba strojů představující zajímavou příležitost ke snížení nákladů a posílení efektivity provozu.

Konkrétní příklady IoT zařízení nebo systémů:

IoT čidla ve výrobě, I&C (průmyslová polní instrumentace a řízení)
RTLS systémy pro geofencing a vnitřní navigaci osob, strojů i zařízení
IP bezpečnostní kamery
docházkové systémy
určité prvky zabezpečovacích a požárních systémů

Špatně zabezpečená zařízení a sítě ve firemním sektoru mohou představovat velké riziko, protože firmy mají více zařízení a cennější data než v domácnostech. Některá zařízení mohou být zastaralá, neaktualizovaná a snadno přístupná hackerům. Taková zařízení, označovaná jako „ghost devices“, mohou hackeři využít k získání cenných dat.

3. IoT zařízení pro veřejný sektor

Máme na mysli především koncept chytrých měst. IoT má silný potenciál postupného zavádění do veřejných služeb a správy, včetně vody, odpadu, elektřiny, plynu, veřejné bezpečnosti a dopravy. Cílem je efektivnější monitoring a využívání zdrojů, což by mělo zlepšit kvalitu a bezpečnost života obyvatel.

Konkrétní příklady:

IoT čidla pro měření kvality ovzduší
systémy měření spotřeby v kritických uzlech infrastruktury
monitoring veřejného prostoru, dopravy a historických památek
IP bezpečnostní kamery
určité prvky požárních a zabezpečovacích systémů

Zde je riziko nejvyšší, protože veřejný sektor má i nejkritičtější infrastrukturu.

IoT zařízení a bezpečnostní rizika

Pojďme se nyní více zaměřit na bezpečnostní hledisko IoT. Se stále rostoucím počtem IoT zařízení stoupá i riziko kybernetických útoků. Domácí IoT produkty čelí tisícům hackovacích pokusů týdně. Již proběhlé hackerské útoky jako Mirai ukázaly, jak hackeři mohou využít slabých hesel k ovládnutí zařízení a způsobit rozsáhlé škody. Jaká jsou konkrétní rizika?

Získání přístupu k IoT zařízení hrubou silou – hackeři zkouší pomocí brute force metody získat přístup pomocí celé sady kombinací hesel a kódů známých mezi výrobci IoT.
Zneužití zranitelností – kybernetičtí útočníci zkouší získat přístup na základě zranitelností ve firmwaru nebo ovladačích IoT zařízení, která se pravidelně neaktualizují.
Zneužití slabého ověření – jedná se buď o zneužití backdooru, který v zařízení ponechal výrobce za účelem servisování a zákaznické podpory, případně o zneužití slabých kryptografických algoritmů (nebo dokonce žádných, kdy je heslo ponechané v čistě textové podobě).

Můžete se setkat s následujícími typy hackerských útoků nebo ohrožení bezpečnosti IoT zařízení:

Data breach – únik dat, který může být vnitřní nebo vnější, úmyslný i neúmyslný, mohou za ním stát i nespokojení zaměstnanci. Velké riziko úniku dat hrozí i při jejich přesunu po cloudu.
Data loss – ke ztrátě dat dochází náhodou a může nastat i kvůli chybě IoT hardwaru nebo softwaru.
Attack on availability – k odmítnutí služby dochází v případech, kdy je služba přetížená z důvodu nadměrného počtu příchozích požadavků. Může se jednat o cílený útok, kdy útočníci posílají do datových center škodlivé či neúplné pakety dat (může se jednat ale i o důsledek velkého množství či častého opakování požadavků autorizovaných uživatelů).
Modification of sensitive data – data se zachytí během přenosu a následně dojde k jejich úpravě a přeposlání. Přitom může dojít ke změně obsahu, kvůli čemuž se data stávají buď nepoužitelnými, nebo přímo škodlivými.

Jak se bránit?

V první řadě zvažte, jak moc je pro vás IoT výhodný vzhledem k bezpečnostním rizikům. Pokud na IoT technologii trváte, ujasněte si nejprve tyto otázky:

Jaké zabezpečení vaše firma vyžaduje?
Jak budete přidávat nová IoT zařízení?
Kde budete shromažďovat informace o všech zařízeních?
Kam budou vaše IoT čidla nebo zařízení posílat data?
Kdo k nim bude mít přístup?
Jak a kdo bude zabezpečovat aktualizace firmwaru a ovladačů?
Jak budete monitorovat síť?
Co budete dělat v případě kybernetického útoku nebo narušení?

Obecně doporučujeme několik tipů pro zvýšení kybernetické i provozní bezpečnosti:

IoT zařízení by neměla mít od výrobce nastavená univerzální výchozí hesla, pokud taková jsou, ihned je změňte. Volte silná a unikátní hesla (tj. optimálně 16 náhodných znaků vč. velkých i malých písmen, číslic a symbolů).
Udržujte aktualizovaný firmware. Nejlépe ihned, jak aktualizace vyjdou.
Volte pouze taková IoT zařízení, která zvládají zabezpečenou komunikaci.
V celé síti zaveďte bezpečnou konfiguraci včetně firewallu (použijte hardwarový)
Vyhraďte síť pouze pro IoT zařízení – díky oddělení sítě můžete snáz izolovat případný malware.
V případě podezření na rizikové chování zařízení restartujte.
Mějte připravené náhradní zdroje napájení pro případ výpadku.

Tip: Podívejte se i na tipy a triky pro zabezpečení staveniště.

Závěrem

Výrobci IoT zařízení obětují bezpečnost kvůli rychlému vývoji a inovacím, což v mnoha případech vede k prodeji zařízení s nedostatečným zabezpečením. Možnou hrozbou pro takováto zařízení je i nedostatečný čas na vývoj či testování, který může vyústit v chyby. Ty poté útočník využije k průniku do sítě a k citlivým informacím uvnitř. Pro informace o kybernetické bezpečnosti doporučujeme sledovat servis Národního úřadu pro kybernetickou a informační bezpečnost.

Obraťte se na nás, rádi vám nabídneme kompletní servis od konzultace při výběru a návrhu vhodných systémů s ověřenými a spolehlivými IP kamerami až po vypracování projektové dokumentace.

Sun-shop - tvorba eshopů

Zobrazit plnou verzi

Tato webová stránka používá cookies

Na těchto stránkách fungují cookies, které naše společnosti využívají. Jednotlivé typy cookies a jejich dobu zpracování naleznete popsané níže v tabulce. Zvolte prosím Vámi preferovanou variantu. Pokud byste nás potřebovali ohledně výkonu vašich práv v souvislosti se zpracováním cookies kontaktovat, obraťte se prosím na společnost, jejíž stránky procházíte, nebo na našeho Pověřence pro ochranu osobních údajů. Pokud si myslíte, že s osobními údaji nenakládáme, jak bychom měli, máte možnost podat stížnost u Úřadu pro ochranu osobních údajů. Budeme však rádi, pokud se nejdříve obrátíte přímo na nás a budeme tak moct Váš požadavek obratem vyřešit.

Název	Účel	Poskytovatel	Vypršení
last_visited_id	Optimalizace pro uchovávání košíku produktů mezi navštěvami eshopu.	Sun-shop	Session
jstree_load	Pro práci se stromem eshopu	Sun-shop	Session
jstree_open	Pro práci se stromem eshopu	Sun-shop	Session
Popup_#	Pro práci s vyskakovacím oknem. Aby nevyskakovalo pokaždé.	Sun-shop	Session
mobileVersion	Ukazatel zobrazení pro mobilní verzi	Sun-shop	Session
sunshop2016	Identifikace uživatele při průchodu eshopu. Nutné k uložení obsahu košíku a veškerých funkcí, vyžadující fungování stránky jako eshopu.	Sun-shop	Session
ssupp.vid	Smartsupp chat identifikátor	Smartsupp	Session
ssupp.visits	Smartsupp chat identifikátor	Smartsupp	Session

Název	Účel	Poskytovatel	Vypršení
_gid	Google analytics ID - statistiky návštěvnosti.	Google	2 roky
_ga#	Google analytics ID - statistiky návštěvnosti.	Google	2 roky
_utma / _utmb / ... _utmz	Google analytics ID - statistiky návštěvnosti.	Google	2 roky
_gcl_au	Google Tag Manager.	Google	2 roky