12.10.7
Inteligentní dům 08: Internet věcí - Bezpečnost IoT
Ing. Bohumír Číhal
Zvyšováním používání prvků iOT a jejich zařazováním do běžného provozu vyvstává otázka kybernetické bezpečnosti. Jsou prvky Internetu věcí dostatečně bezpečné a adekvátně zabezpečené? Tyto otázky nevyvstávají náhodně, ale v reakci na probíhající celosvětovou debatu, která Internet věcí rámuje jako nastupující kybernetickou hrozbu, jež bývá často přehlížena a marginalizována.
České bezpečnostní prostředí nezaostává a na fenomén Internetu věcí upozorňují i tuzemské instituce a jejich dokumenty. Příkladem je Národní strategie kybernetické bezpečnosti ČR 2021-2025, která "koncept internetu věcí" zařadila mezi výzvy, jimž je třeba na poli kybernetické bezpečnosti čelit. Na NSKB ČR 2021-2025 navazuje implementační dokument Akční plán Národní strategie kybernetické bezpečnosti ČR 2021-2025, který rozpracovává vize a cíle do konkrétních úkolů. Plnění jednotlivých cílů průběžně sleduje, hodnotí a koordinuje Národní úřad pro kybernetickou a informační bezpečnost, jakožto gestor kybernetické bezpečnosti v ČR.
Již Výroční zpráva Vojenského zpravodajství za rok 2018 označila zařízení Internetu věcí za jeden z významných trendů kybernetické bezpečnosti a přímo zmínila i užití těchto zařízení v prvcích kritické infrastruktury. Producenti IoT přinášejí na trh neustále nové a nové produkty, jež často obsahují zneužitelné zranitelnosti a jejich následná podpora je mnohdy nedostatečná, poskytování aktualizací zanedbávané a časově omezené. Zpráva uvádí masivní kybernetické útoky typu tzv. distribuovaného odmítnutí služby (DDoS), ke kterým jsou zneužívány zotročené sítě (botnety) IoT. Počet IoT se bude s používáním rychlých sítí 5G násobit. Kombinace rychlých sítí a množství zranitelných IoT zařízení pak mohou otevřít prostor pro ničivější kybernetické útoky, které je budou využívat jako násobitel efektu útoků či jako vstupní bránu pro další útočné vektory. Rovněž budou narůstat kybernetické útoky zaměřené na samotná IoT zařízení využívaná v rámci průmyslových systémů a řídících prvků kritické infrastruktury. Významným trendem je hrozba použití ransomwaru ze strany kybernetických útočníků, zejména kybernetického organizovaného zločinu. Přes rostoucí sofistikovanost kybernetických útoků, metod infekce (včetně sociálního inženýrství) i způsobů, jak se proti těmto bránit, zůstane nejdůležitější proměnnou lidský aspekt – uživatel.
Poznámka k výroční zprávě:
Distribuované odmítnutí služby (DDoS) je typ síťového útoku na servery, internetové služby nebo celé sítě, který způsobuje přehlcování serverů, přetěžování sítě a blokování služeb. Výsledkem bývá nefunkčnost a nedostupnost služby pro internetové uživatele. U DDoS je do útoku zapojeno více počítačů s vědomím nebo bez vědomí jejich uživatelů.
Botnet (síť botů) představuje síť infikovaných počítačů ovládaných jediným hackerem/crackerem, který tak má přístup k výpočetnímu výkonu mnoha tisíců strojů současně. Umožňuje provádět nezákonnou činnost ve velkém měřítku – zejména útoky DDoS a distribuci spamu
Ransomware je druh malware, pomocí kterého vzdálený útočník zašifruje data na počítači oběti a následně požaduje výkupné za sdělení hesla k těmto datům.
NahoruBezpečnostní ohrožení
V této oblasti je třeba klasifikovat tři termíny z oblasti bezpečnostního ohrožení: hrozba, nebezpečí a bezpečnost.
Hrozba
Termín hrozba označuje obecně primární, mimo nás nezávisle existující, vnější fenomén, který může nebo chce poškodit nějakou konkrétní hodnotu. Obecně se hrozby rozdělují na neintencionální (přírodní, nezamýšlené) a intencionální (způsobované a zamýšlené činitelem nadaným vůlí a úmyslem – tj. člověkem).
Hrozba v kybernetické bezpečnosti označuje příčinu nežádoucí události, která může mít za následek poškození systému a jeho aktiv, přičemž následkem může být zničení, kompromitace či modifikace dat nebo nedostupnost služeb.
Nebezpečí
Pojem nebezpečí je odborné synonymum termínu hrozba, označující materiální projev hrozby (co a jak může nastat) a popis hrozící škody (co a v jakém rozsahu to může způsobit).
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů, hovoří v ustanovení § 21 o stavu kybernetického nebezpečí. Stavem kybernetického nebezpečí se rozumí stav, ve kterém je ve velkém rozsahu ohrožena bezpečnost a integrita sítí elektronických komunikací, a tím by mohlo dojít k porušení nebo došlo k ohrožení zájmu České republiky ve smyslu zákona upravujícího ochranu utajovaných informací.
Bezpečnost
Jako bezpečnost se obecně označuje stav, kdy jsou na nejnižší možnou míru eliminovány hrozby pro objekt a jeho zájmy a tento objekt je k eliminaci stávajících i potenciálních hrozeb efektivně vybaven a ochoten při ní spolupracovat. Bezpečnost je též možné vnímat jako synonymum pro zachování existence. Ve vztahu ke kybernetické bezpečnosti termín označuje vlastnost prvku, který je na určité úrovni chráněn proti ztrátám, nebo také stav ochrany proti ztrátám.
Přestože v popředí je tzv. vnější bezpečnost (eliminace hrozeb zvnějšku), bezpečnost je vždy kompromisem mezi množstvím opatření, jež si může subjekt dovolit (z důvodů finančních, personálních aj.) a množstvím bezpečnostního rizika, jež je subjekt ochotný podstoupit.
Ústřední správní úřad pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací je, podle zákona č. 181/2014 Sb., Národní úřad pro kybernetickou a informační bezpečnost se sídlem v Brně. O vyhlášení stavu kybernetického nebezpečí rozhoduje jeho ředitel.
Zákon č. 181/2014 Sb. navazuje na přímo použitelný předpis Evropské unie Nařízení Evropského parlamentu a Rady (EU) 2019/881 ze dne 17. dubna 2019 o agentuře ENISA (Agentuře Evropské unie pro kybernetickou bezpečnost), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013.
NahoruVybrané bezpečnostní hrozby a nedostatky
Kybernetický útok na IoT může mít tři základní podoby:
-
získání nepovoleného přístupu a zneužití osobních dat,
-
použití přístrojů k napadení jiných přístrojů (proměna v bot) a
-
použití přístroje k vytvoření fyzického nebezpečí.
Z technického pohledu se zařízení IoT potýkají se dvěma základními nedostatky: malou pamětí a nízkým (počítačovým) výkonem. Od nich se odvíjejí další zranitelnosti přístrojů vůči napadení, jelikož na ně nelze aplikovat běžné postupy pro zabezpečování.
Vývoj kybernetických bezpečnostních opatření představuje drahý a časově náročný proces, který je třeba neustále aktualizovat a přizpůsobovat novým hrozbám či útokům. Kvalitní zabezpečení je finančně nákladné, přičemž vynaložené finance se výrobcům přímo nevrátí. Implementace bezpečnostních prvků tak mnohdy zůstává ve výrobním procesu na druhé koleji.
Další problémem je, že řada přístrojů a zařízení byla vyvinuta a používá se bez rozmýšlení nad tím, jak je zabezpečeno a počáteční chyba ve vývoji způsobila, že současná zařízení IoT představují často jednoduše použitelnou vstupní bránu do systému. Eliminovat či mírnit bezpečnostní riziko je přitom možné konceptem security by design (bezpečný díky návrhu). Tím je v informatice označen software, který byl navržen od základu tak, aby byl bezpečný a znalost principů práce počítačového programu neohrozila bezpečnost.
Uživatelova data jsou v kybernetickém prostoru chráněna na základě tzv. kybernetické triády: CIA – confidentiality (důvěrnosti), integrity (nezměnitelnosti/celistvosti) a avalability (dostupnosti). Přičemž právě útoky na nezměnitelnost a dostupnost dat spadají mezi hlavní hrozby.
Bez ohledu na technické nedostatky zůstává nejslabším článkem v kybernetickém bezpečnostním řetězci člověk. Podle Národní strategie kybernetické bezpečnosti České…