Jak lépe zabezpečit internet věcí? Automatickými aktualizacemi

Někdy pravda bolí, ale je důležité ji vyslovit. Poradenská skupina zaměřená na internet, BITAG, takovou pravdu vyjevila IT průmyslu: ne, zákazníci si nebudou sami aktualizovat software na svých zařízeních.

Jak lépe zabezpečit internet věcí? Automatickými aktualizacemi


„Je bezpečné předpokládat, že většina koncových uživatelů si nebude sama aktualizovat software,“ píše BITAG, neboli Broadband Internet Technology Advisory Group. Řešením je podle této skupiny sestavit mechanismus pro bezpečné, a zároveň zcela automatické aktualizace.

Tento kousek lidské přirozenosti, na kterou BITAG upozorňuje ve své úterní zprávě, je jen jedním z několika témat. Píše také o dalších problémech zařízení internetu věcí, které se např. dodávají se slabými standardními uživatelskými jmény a hesly typu „admin“ a „password“, nepodporují autentizaci či šifrování, případně lze nad nimi snadno převzít kontrolu pomocí malwaru, který z nich následně vytvoří boty.

O posledním z uvedených příkladů se průmysl i veřejnost přesvědčili minulý měsíc tvrdou cestou, a to kvůli botnetu Mirai, složeným ze zařízení internetu věcí, jakými jsou třeba bezpečnostní kamery nebo i chytré ledničky. BITAG však svůj výzkum započal ještě před tímto incidentem, v červnu letošního roku.

Pro výrobce prodejce softwaru a hardwaru internetu věcí má BITAG několik rad. Protože organizaci reprezentují giganti typu Cisco Systems, Google, AT&T nebo Comcast, doufejme, že si jejich tipy vezmou výrobci k srdci.

Nezákladnějším principem, který si mají prodejci zařízení internetu věcí uvědomit, je, že ať udělají cokoli, musí počítat s tím, že finální zařízení bude obsahovat chyby a zranitelnosti. Proto potřebují zmiňovaný systém automatických vzdálených aktualizací, které nenutí uživatele vykonávat vlastní činnost – ani tyto aktualizace např. schválit, popisuje BITAG.

Zpráva volá po tom, aby výrobci dodržovali seznam nejlepších a nejbezpečnějších pravidel, včetně autentizace veškeré komunikace, šifrování dat uložených v zařízení a zahrnutí systému na odebrání certifikátů zkompromitovaných hackery.

Standardně by zařízení internetu věcí neměla být přístupná skrze příchozí síťové spojení, ani od zařízení ve stejném domě, neboť i ta by mohla být nakažena malwarem, pokračuje ve zprávě BITAG. Spoléhat se pouze na firewall nebude stačit, varuje dále.

BITAG také doporučuje využít protokol IPv6, který podporuje koncové spojení mezi zařízeními přes internet a má oproti staršímu standardu IPv4 dodatečné bezpečnostní prvky. Podle jiných expertů bude IPv6 nutné už jen kvůli masivnímu počtu unikátních IP adres na miliardách předpokládaných zařízení. Implementace nových protokolů je však náročná a přináší své vlastní potíže.

Další doporučení skupiny se netýkají přímo zabezpečení, ale spíše některých uživatelských problémů. Podle zprávy by výrobci měli zajistit schopnost zařízení fungovat i offline, protože chyby nebo některé druhy útoků je mohou od internetu odstřihnout. Také by měly dále běžet i v případě, že selže podpůrná cloudová služba.

Podle organizace mají též prodejci oznamovat zákazníkům, jak dlouho bude kupovaný produkt podporován, včetně informace, kdy v budoucnu mohou být jeho prvky deaktivovány. Deaktivace chytrých domácích hubů Revolv společnosti Nest na začátku tohoto roku vyvolala vlnu nevole, neboť zákazníci zařízení draze zakoupili za 299 dolarů od Revolvu v roce 2014, tedy v době, kdy jej ještě nevlastnil podnik Nest a předpokládali delší dobu používání.

Bude existovat způsob, jak si rychle ověřit, zda je zařízení internetu věcí v domácnosti patřičně zabezpečené? Možná. BITAG navrhl, aby průmysl vytvořil logo nebo popisek pro produkty, které dodržují základní sadu bezpečných pravidel fungování. Tím by ušetřili čas uživatelům, kteří by nemuseli detailně procházet veškeré specifikace produktu. Zda se však výrobci začnou radami řídit záleží na nich.

Úvodní foto: Fotolia © Melpomene










Komentáře