Existuje už mnoho systémů, které by se daly zahrnout do podnikového internetu věcí (IoT) – v oblasti, kde má téměř každý fyzický předmět, jak to tak vypadá, spoustu inteligence a připojuje se k sítím – a ponechává podniky zranitelné vůči útokům a únikům dat.
Problematika internetu věcí a zabezpečení se dostala do popředí pozornosti v červenci tohoto roku, kdy dva hackeři dokázali vzdáleně převzít řízení automobilu Jeep Cherokee, který přitom jel na dálnici rychlostí 110 km/h. Bezdrátově zapnuli a vypnuli stěrače, zapnuli naplno klimatizaci, přeladili rádio na jinou stanici a poté zakázali přenos, takže Jeep na mezistátní dálnici zpomalil na šnečí tempo.
Tento průlom se vykonal, aby veřejnost seznámil s nebezpečím IoT, kterému čelí automobily. A mělo to účinek – nakonec se k opravě systémů svolalo 1,4 milionu automobilů. Problémy kolem podniků a zabezpečení internetu věcí však nelze vyřešit tak snadno jako svolání automobilů k opravě jejich komunikačních systémů.
Závažnými otázkami pro podniky jsou: Jak (ne)zabezpečený je podnik v důsledku rozšíření zařízení IoT v rámci firmy? Jak snadno je lze použít k proniknutí do firemních sítí? A co mohou podniky udělat pro svou obranu?
V tomto článku se na tato nebezpečí podíváme, popíšeme si ta nejvýznamnější a nabídneme pracovníkům IT rady pro obranu před nimi.
Je skutečně IoT bezpečnostním problémem?
Pojďme začít základní otázkou: Jakým druhům nebezpečí v souvislosti s IoT podniky čelí? Andrew Hay, šéf výzkumu ve společnosti OpenDNS Security Labs, prohlašuje: „Největší problém vidíme v tom, že zařízení zaměřená na spotřebitele, jako jsou webové kamery a chytré televize, byla při výrobě testována z hlediska zabezpečení, ale jen při použití v nekritickém prostředí. Nedošlo ale k testování pro podnikovou úroveň ochrany dat.“
Podle něj je to alarmující, protože tato zařízení dostávají v podnicích přístup k podnikovým sítím. Mohou vyčnívat do internetu jako majáky přitahující pozornost a podniky s nimi zacházejí jako s hračkami. Nehledí na ně jako na objekty, které je nutné zabezpečit stejně jako mobilní zařízení prostřednictvím BYOD. Jsou považované za hračky.
Chris Rouland, zakladatel a výkonný ředitel bezpečnostní společnosti Bastille, dodává, že podniky často ani nesledují všechna bezdrátová zařízení ve svých pobočkách a budovách.
„Jsem si jist, že má každý podnik ve svém prostředí bezdrátové vysílače, o nichž neví a které jsou zcela nezabezpečené,“ tvrdí Rouland.
Problém podle něj spočívá v tom, že pro zařízení internetu věcí zatím nenastal ten zlomový okamžik jako s virem Melissa v roce 1999. V tomto roce se malware tak rozšířil včetně sítí ve společnosti Microsoft a Intel, že to dramaticky zvýšilo povědomí lidí o důležitosti ochrany podnikových počítačů a sítí před viry.
Dva typy hrozeb IoT
Obecně platí, že podniky čelí dvěma základní hrozbám IoT – od zařízení internetu věcí, speciálně vyrobených pro práci v podnicích, a od těch, která se vyrábějí především pro spotřebitele.
Dalo by se čekat, že hrozby představované spotřebitelskými zařízeními jsou větší než ty pocházející ze zařízení vytvořených speciálně pro podniky. Řada bezpečnostních expertů však tvrdí, že tomu tak není.
Marc Blackmer, manažer produktového marketingu Cisco Security Business Group, vysvětluje: „Myslím si, že kolem zařízení, jako jsou chytrý termostat Nest či chytré televizory, vzniká velký humbuk, že to je bezpečnostní riziko pro podniky.“
Sám je ale přesvědčen, že mnohem větší problém představuje složitost zařízení IoT průmyslové kategorie a neúplné pochopení jejich nebezpečí. „Jsme příliš zaneprázdněni starostmi o to, co dělá naše lednička – a může nám uniknout fakt, že v průmyslových sítích nyní existuje více směrovatelných protokolů. Dokonce jsou firmy, které spravují průmyslová zařízení z chytrých telefonů,“ říká Blackmer.
Jako příklad uvádí útok na ropovod v Turecku v roce 2008. Ropovod byl monitorován dohledovými kamerami připojenými přes protokol IP, které byly zkonstruované k ochraně zařízení.
Ironií je, že útočníci zneužili zranitelnost kamer k průlomu do sítě řídící potrubí. Jakmile se dostali dovnitř, nasadili malware a získali vzdálenou kontrolu nad průmyslovými regulátory ventilových stanic. Potom vyhodili do povětří potrubí změnou tlaku ropy. Vypnuli vzdáleně také havarijní systémy potrubí, takže se jeho vlastníci o útoku ani hned nedozvěděli.
Další závažný problém vzniká v důsledku existence externích dodavatelů, kteří se připojují do podnikových sítí, ale nepoužívají stejné systémy a pravidla zabezpečení jako samotný podnik. Jejich zařízení nemusejí být zabezpečená a lze je použít k napadení firemní sítě.
Billy Rios, šéf oddělení hrozeb ve společnosti Qualys, která se zabývá zabezpečením cloudu, uvedl pro magazín New York Times: „Vzdálený přístup k těmto (podnikovým) systémům je skutečně běžný a integrátoři je téměř vždy připojují do podnikové sítě.“
Studie Qualysu zjistila 55 tisíc systémů vytápění, vzduchotechniky a klimatizace připojených k internetu – a ve většině případů tyto systémy obsahovaly základní zranitelnosti zabezpečení, které by útočníkům umožnily dostat se do podnikových sítí.
John Pescatore, bezpečnostní expert s dlouhou kariérou zahrnující také působení v NSA a Gartneru, nyní ředitel oddělení nově vznikajících bezpečnostních trendů v institutu SANS, uvádí, že podniky obvykle dobře zvládají hrozby vytvářené počítači, mobilními zařízeními a pobočkovými ústřednami, tedy prostředky, které jsou obecně považované za tradiční doménu oddělení IT.
Mají však problémy, když se do sítí připojí zařízení a systémy jiné než IT. „Podnik se přestěhuje do nové budovy a do stejné sítě jsou připojené také systémy vytápění, vzduchotechniky, klimatizace, výtahů a dohledových kamer, přičemž tyto systémy nejsou nutně chráněné. To je výchozí bod. Pokud nedokážete zjistit, co je ve vaší vlastní síti, nemůžete doufat, že se ubráníte,“ tvrdí Pescatore.
Hrozby spotřebitelského IoT
To vše samozřejmě neznamená, že spotřebitelská zařízení internetu věcí podniky neohrožují. Ohrožují. Experti na zabezpečení varují, že záplava chytrých zařízení, jako jsou televizory, kamery, nositelná elektronika a další, způsobí vážná narušení bezpečnosti v mnoha organizacích.
Tento příspěvek vyšel v Computerworldu 11/2015.Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU