„Bezpečnostní noční můra“ zvaná IoT neboli internet věcí
Roky poté, co mnozí odborníci na kybernetickou bezpečnost, včetně Mikko Hypponena z F-Secure, vyzývali k akci vlády po celém světě, konečně přichází regulace pro IoT zařízení.
Abychom však napravili „bezpečnostní noční můru“ zvanou IoT neboli internet věcí, bude muset každý, kdo se nějakým způsobem podílí na poskytování internetového připojení, začít usilovat o předefinování standardů zabezpečení a ochrany soukromí pro všechna zařízení připojená k internetu.
Regulace IoT — konečně?
Navrhovaná legislativa by učinila Spojené království první zemí s právními předpisy, jež by vyžadovaly, aby výrobci zabezpečovali IoT zařízení. Podle britské ministryně pro digitální a kreativní průmysl Margot Jamesové by se tím Spojené království stalo „globálním lídrem v oblasti online bezpečnosti“.
Spojené království však následuje Kalifornii, jež přijala koncem roku 2018 podobný zákon, který vstoupí v platnost v lednu 2020. Ten požaduje „rozumné“ bezpečnostní funkce ve všech zařízeních, jež se „přímo či nepřímo“ připojují k internetu.
Protože Kongres Spojených států s podobnou legislativou otálí, zákonodárci v Oregonu postupují kupředu s návrhem zákona, který opakuje kalifornský požadavek na „rozumné“ zabezpečení IoT.
Nicméně samotný fakt, že vlády musí požadovat zavedení základních bezpečnostních opatření k takto pozdnímu datu, kdy se počet zařízení připojených k internetu blíží dvojnásobku světové populace, dokazuje, jak špatná situace je, a naznačuje, kolik práce ještě zbývá udělat na straně vlád, výrobců i poskytovatelů internetového připojení.
Chytré = zranitelné
„Kdykoliv je nějaké zařízení popisováno jako chytré, je zároveň zranitelné,“ napsal Mikko na Twitteru v prosinci 2016.
Více pak rozvedl možné důsledky „Hypponenova zákona“ v textu nazvaném Internet (zranitelných) věcí: Hypponenův zákon, bezpečnostní inženýrství a IoT legislativa, který napsal společně s Linusem Nymanem z Hanken School of Economics v dubnu 2017. Jejich článek obsahuje doporučení pro výrobce tzv. IoT zařízení i tvrzení, že legislativní opatření mohou být „jediným spolehlivým prostředkem pro zabezpečení internetu a k němu připojených zařízení.“
Ačkoliv Mikko a Linus chápou omezené možnosti vládních nařízení, tvrdí také, že mohou být nezbytná ke zpomalení tempa, kvůli němuž v milionech domácností skončila nezabezpečená zařízení, a k tomu, že přinutí „všechny výrobce, aby investovali do bezpečnostního inženýrství, a zajistili tak rovné podmínky.“
V lednu 2018 popsala zpráva Výzkumného institutu pro kybernetickou bezpečnost sponzorovaná F-Secure s názvem Detailní pohled na IoTtragický stav ochrany IoT tak, že bez obalu uvedla: „Ve své současné podobě představuje internet věcí (IoT) pro spotřebitele značnou hrozbu kvůli nedostatečným předpisům týkajícím se jeho zabezpečení a používání.“
Později téhož roku zopakoval tyto obavy Interpol i FBI a obě instituce upozornily spotřebitele, že nastal čas, aby svá IoT zařízení zabezpečili stejným způsobem, jako to dělají s notebooky a mobilními telefony.
Regulace je nezbytná, ale je to pouze první krok
Chcete-li si udělat představu, jak špatně na tom zabezpečení zařízení připojených k internetu je, všimněte si, že jak kalifornský zákon, tak navrhovaná legislativa ve Spojeném království obsahují specifický požadavek zakazující „výchozí“ hesla.
Jak bylo uvedeno v nedávné zprávě F-Secure Přehled IoT hrozeb, velké množství hrozeb spoléhá při infikování na výchozí nebo slabá hesla. To platí i o různých variantách botnetu Mirai, který byl zodpovědný za jeden z největších útoků v historii a způsobuje nedostupnost služeb.
Tento krok je nevyhnutelný. Až jedna třetina útoků na IoT zařízení zneužívá slabá hesla, jak poznamenal Tom Gaffney z F-Secure.
Používání příšerných hesel se samozřejmě netýká jenom IoT zařízení. Nedávná studie zjistila, že 123456 je stále nejběžnějším heslem na světě – ovšem kvanta připojených webových kamer, routerů a dalších IoT zařízení jsou těmto hrozbám lehce přístupná prostřednictvím systematického sondování skrze často nechráněné porty s protokolem Telnet. A i když chtějí, spotřebitelé mnohdy ani nemají možnost snadno změnit heslo kvůli špatně navrženým zařízením.
„Rozumné“ nestačí
Zabezpečení hesel je pouze začátkem ochrany IoT. Pokročilé hrozby se více zaměřují na slabá místa, která jsou při vývoji jakéhokoliv hardwaru nebo softwaru nevyhnutelná. A to vyžaduje přísnou regulaci.
Odborník na kybernetickou bezpečnost Bruce Schneier v souvislosti s kalifornským zákonem poukázal na nebezpečí toho, že neurčité předpisy budou usměrňovat výrobce, kteří již ukázali ochotu produkovat zařízení s nedostačujícím zabezpečením.
„Ne až tak dobrá zpráva je, že ‚rozumné zabezpečení‘ zůstává definováno takovým způsobem, že společnosti, které se snaží vyhnout dodržování předpisů, mohou argumentovat tím, že je tento zákon nevymahatelný,“ napsal.
Zákazníci tak mohou být znovu ponecháni napospas rozmarům výrobců, kteří staví zisk před bezpečnost. A spotřebitelé nejsou jediní, kdo trpí.
Vše připojené = vše chráněné
Poskytovatelé internetového připojení se bohužel budou asi muset vypořádat s řadou potíží způsobených zařízeními, jež jsou poruchová nebo fungují špatně v důsledku útoků na IoT.
Tato výzva je však také příležitostí.
Svým poskytovatelům internetu již spotřebitelé důvěřují, což tyto společnosti staví na přední místo k tomu, aby určovaly směr trhu a nabídly něco opravdu hodnotného: bezpečné a soukromé připojení pro všechny.
Brian Ragsdale, ředitel divize pro marketing a produktový management ve společnosti Windstream, jež poskytuje širokopásmové připojení a obsluhuje více než milion amerických rodin v 18 státech, uvedl, že jejich firma je vyzývána, aby vyřešila jakýkoliv problém, který zpomaluje Wi-Fi připojení v domácnosti.
„Nad některými faktory ale nemáme naprosto žádnou kontrolu,“ řekl. „Neovlivníme například Wi-Fi router na mikrovlnné troubě nebo zastaralá zařízení.“
Mají však v rukou bezpečnost, takže výběr správného partnera pro zabezpečení a ochranu soukromí hraje klíčovou roli.
Pro F-Secure není ochrana dat jen o zabezpečení vlastních zařízení a sítě spotřebitelů. Je také o důvěře a o zodpovědnosti za to, aby byl jejich život bezpečnější a lehčí.
Windstream spolupracuje se společnostmi F-Secure a Actiontec, aby poskytnul zákazníkům kompletní ochranu všech zařízení i rodičovskou kontrolu prostřednictvím zabezpečeného routeru a jediné aplikace.
„Zákazníci si přejí službu, která bude snadná, nekomplikovaná,“ řekl.
Závod o důvěru spotřebitelů
Rodiny už přišly na to, jak do svých domácích Wi-Fi sítí přidat další a další zařízení. Pokud nebude stejně snadné zařídit jejich zabezpečení, ocitnou se na mrtvém bodě s nedostatečnou ochranou, kvůli níž je až 9 z 10 domácích routerů zranitelných.
Mikko a Linus doporučili v roce 2017 všem výrobcům IoT zařízení, aby se považovali za „softwarovou společnost“. Na tuto radu firmy evidentně nebraly ohledy a my všichni za to teď platíme. A v sázce je toho stále víc.
„V roce 2025 bude mít mnoho lidí (vědomě či ne) kolem 5000 digitálních interakcí denně,“ uvedl Oliver Wyman.
Vlády konečně začínají zvyšovat nároky na výrobce. I to ale může být příliš málo a příliš pozdě.
Stále však existuje ohromná příležitost pro ty, kteří jsou ochotni nabídnout vysoký standard zabezpečení a ochrany soukromí pro IoT vztahující se na všechna zařízení v domácnosti i mimo ni, aby se stali vítězi závodu o důvěru spotřebitelů.
Toto je ona příležitost: Poskytovatelé připojení a další hráči v ekosystému mohou spojit síly se zavedenými bezpečnostními experty, pro něž je prioritou soukromí spotřebitelů. Společně mohou zákazníkům nabídnout spolehlivé, uživatelsky orientované a personalizované služby doma i na cestách.
Nejde jen o „rozumné“ zabezpečení, na které mají spotřebitelé nárok, ale o výjimečné zabezpečení a ochranu soukromí, které budou rodiny považovat za investici do své budoucnosti.