INTERNET RZECZY W PRZEDSIĘBIORSTWACH – CO POWINNI ZROBIĆ PRODUCENCI I KLIENCI?

bezpieczeństwo, FIRMA

Czym grozi korporacyjny IoT i co z nim zrobić?

Internet rzeczy (IoT) panoszy się wszędzie. Niestety, nie towarzyszą temu odpowiednie zabezpieczenia.

Sposób, w jaki obecnie skonstruowany jest IoT, bardzo utrudnia zapewnienie bezpieczeństwa. Prawdę mówiąc, lekceważące podejście do bezpieczeństwa IoT może budzić zdumienie. Obecną infrastrukturę dałoby się jednak zabezpieczyć znacznie skuteczniej. Izolowanie systemów jest łatwe, ale pożądane byłoby również ich monitorowanie w celu wykrywania niepożądanych działań. Warto uczyć się od operatorów telekomunikacyjnych i firm z innych branż, które zazwyczaj mają wszystko pod kontrolą. Dlatego bezpieczeństwo powinno być jednym z podstawowych wymogów podczas budowania nowych systemów.

Czemu zatem tak trudno zapewnić bezpieczeństwo IoT?

Jarno Niemelä z F-Secure Labs wyjaśnia:

Jedną z fundamentalnych przyczyn jest to, że budowanie urządzeń IoT jest takie tanie. A zajmują się tym głównie startupy, które muszą szybko wprowadzić produkt na rynek i nie mają doświadczenia w dziedzinie bezpieczeństwa.

Nawet w większych firmach bezpieczeństwo raczej nie stanowi kluczowej kompetencji ani priorytetu w procesie projektowania nowych produktów. Widać to wyraźnie na przykładzie bezprzewodowo łączącej się z siecią lalki Barbie, którą można zhakować.

Jeśli chodzi o przemysłowy IoT, sprawy jeszcze bardziej się komplikują. IoT to rosnący trend w automatyce przemysłowej, spowodowany głównie chęcią cięcia kosztów – bądź co bądź, komputery PC są tańsze niż wyspecjalizowane kontrolery, a kontrolery IoT są jeszcze tańsze niż komputery PC. Komunikacja przez internet to również ekonomiczne rozwiązanie. Było już kilka przypadków naruszenia bezpieczeństwa przemysłowego IoT.

Dlaczego infrastruktura o krytycznym znaczeniu jest w takim kiepskim stanie? Jarno kontynuuje:

Wszystko sprowadza się do pieniędzy – bezpieczeństwo kosztuje. Klient często nie uwzględnia bezpieczeństwa w zapytaniu ofertowym, więc dostawca zupełnie ignoruje zabezpieczenia, żeby zdobyć kontrakt.

Inna rzecz to sposób, w jaki budowane są systemy kontrolne. Głównym kryterium jest nieprzerwane działanie, a wszystko, co może je zakłócać, na przykład zabezpieczenia, jest traktowane z niechęcią. Ponadto specjaliści od bezpieczeństwa nie zawsze rozumieją kluczową infrastrukturę, która jest często niestandardowa i skomplikowana.

Oto rady Jarna dla producentów urządzeń IoT

  • Zabezpiecz aktualizacje bezprzewodowe (OTA)
    • Podpisuj cyfrowo i weryfikuj pakiety aktualizacyjne
  • Używaj TLS do całej komunikacji
    • „Przypinaj” certyfikaty główne
  • Ustawiaj losowe hasła domyślne
    • Używaj uwierzytelniania dwuczynnikowego w oprogramowaniu na telefon lub komputer
  • Używaj certyfikatów i kryptografii z kluczem publicznym
  • Zamknij wszystkie usługi, które nie są potrzebne
    • SSH może być potrzebne podczas tworzenia oprogramowania, nie w gotowym kodzie
  • Śledź status bezpieczeństwa wszystkich bibliotek firm trzecich
    • Nie ma znaczenia, czy luka w zabezpieczeniach znajduje się w Twoim kodzie, czy w bibliotece

Ponadto ważne jest odizolowanie poszczególnych komponentów.

A co z użytkownikami urządzeń IoT? Czy jest coś, co powinieneś zrobić, jeśli używasz urządzeń zakupionych od dostawców IoT?

  • Skontroluj wszystkie urządzenia, których używasz
    • Zbadaj wszystkie interfejsy programem nmap
    • Jeśli urządzenie jest klientem, nie powinno mieć otwartych portów
  • Naciskaj na producenta, żeby uszczelnił zabezpieczenia
    • Jeśli coś znajdziesz, zgłoś to
    • Jeśli ktoś inny coś zgłosi, skontaktuj się z producentem
  • Jeśli producent wyda aktualizacje, zainstaluj je
    • Co mają ze sobą wspólnego komputer PC, router i kopiarka?
    • We wszystkich należy instalować poprawki

Również z perspektywy klienta izolowanie urządzeń IoT to dobra praktyka w zabezpieczaniu systemów automatyki przemysłowej, ponieważ większość cyberataków na firmy produkcyjne odbywa się za pośrednictwem korporacyjnych systemów IT. Na przykład wybuch w niemieckiej hucie stali zaczął się od ataku mailowego, a skończył uszkodzeniem wielkiego pieca. Niesławny atak na ukraińską sieć energetyczną również rozpoczął się od sieci biurowej, a potem rozszerzył na krytyczną infrastrukturę.

Nawet dziś najbardziej prawdopodobnym wektorem ataku jest sieć korporacyjna, do której zdołali się włamać napastnicy. Dlatego powinieneś zadbać o to, aby sieć Twojej firmy była odporna na ataki. Wskazówki na temat zabezpieczania sieci znajdziesz w naszym webinarium „Defending networks”.

Ten wpis powstał na podstawie prezentacji, którą Jarno wygłosił podczas konferencji Security 2016 w Czechach.

 

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: