Pravděpodobně nikdo nebude riskovat a krást údaje o ujetých kilometrech sousedova auta nebo množství součástek vyrobených v konkurenčním závodě. Cílem útoku však nemusí být samotný uživatel přístroje, ale společnost, jejíž údaje unikly.
Připojená zařízení v IoT přináší omezení, bezpečnostní výzvy, ale i různé přístupy k jejich řešení. Vývoj nových technologií s sebou přináší nová rizika a požadavky na bezpečnost a ochranu osobních údajů. Výrobci zařízení (dále jen OEM) rozšiřují existující systémy o inovativní technologie. Většinou např. o snímače, výpočetní a úložná zařízení pro velké datové aplikace a streaming edge analytiku pro cloud.
Podnikatelé se ve všech aspektech své činnosti stále více spoléhají na inteligentně propojená zařízení. Přechod ze soukromých do celopodnikových sítí přes veřejný internet odhaluje bezpečnostní rizika, která předtím nebyla pozorována.
Předpokládá se, že celosvětové přijetí IoT a cloud technologií do roku 2020 dosáhne více než 20 miliard zařízení. Více zařízení online znamená více zařízení, která potřebují ochranu.
Stará průmyslová zařízení a zařízení na bázi brownfieldů, která jsou podstatná pro infrastrukturu země, se tak stávají snadným cílem útoků. Hovoříme tu o elektrických sítích, komunikační infrastruktuře apod. Množství, různorodost a věk těchto zařízení značně zjednoduší možnosti potenciálních útoků.
Jak je tedy možné v komplexním ekologickém systému IoT zajistit, aby připojená zařízení zůstala bezpečná?
OEM, poskytovatelé řešení, systémoví integrátoři a koncoví uživatelé potřebují vytvořit komplexní vícevrstvou strategii, která zabezpečí koncovou ochranu jejich zavedených IoT zařízení. Tradiční řešení, která používají síťové firewally a protokoly, poskytují ochranu pouze proti vysoké úrovni internetového provozu.
První vrstva bezpečnostní strategie IoT začíná tím, že chrání hardware a software samotného připojeného zařízení
Jedna z nejčastěji přehlížených vrstev IoT je ŽIVOTNÍ CYKLUS. Zabezpečení se musí řešit:
- od počátečního návrhu výrobce zařízení,
- přes provozní prostředí užívané koncovým uživatelem nebo systémovým integrátorem,
- až po konečné vyřazení z provozu.
Bezpečnostní problémy sdílené více stranami řeší technologie založené na hardwaru a antimalwaru. TRUSTED nebo SECUREBOOT vyžaduje od zařízení ověření firmwaru a softwarových balíků během bootování přes kryptografii. Když je připojené zařízení zapnuté, ověří se pravost a integrita softwaru v zařízení pomocí šifrovaných digitálních podpisů.
Tyto digitální podpisy jsou přiloženy k softwarovému image a potvrzeny zařízením, aby se zajistilo, že na zařízení budou spuštěny pouze autorizované softwary podepsané určenými entitami zařízení. Vestavěná zařízení by měla mít zabezpečená ukládání certifikátů, které jsou naprogramovány během výroby, aby se vytvořil důvěryhodný kořenový certifikát.
Jakmile vznikne důvěra, připojené zařízení stále potřebuje ochranu před různými hrozbami během provozu a škodlivými stranami. Mnozí výrobci zařízení IoT začali používat WHITELISTING APLIKACE na svých nových připojených produktech, aby zajistily, že zařízení nebudou na úrovni aplikací ohroženy. Namísto blacklisting (černé listiny) byly použity technologie whitelistingu (bílé listiny). Využívají se na zachování provozu starších zařízení v reálném čase, které nemohou spouštět běžné antivirové aplikace. Při centrálně spravovaném prostředí whitelisting aplikace zastavuje malware a jiný neautorizovaný software tím, že umožňuje běžet na zařízení pouze indexovaným aplikacím.
Na druhé straně, whitelisting aplikace považuje všechna data za nesprávná, dokud nejsou ověřena v nějakém kontrolním procesu dat, a tedy je blokuje.
Správná KONTROLA PŘÍSTUPU je založena na principu minimálního oprávnění. Ten stanoví, že by měl být přístup k provedení funkce povolen pouze minimálně. Omezí se tak vliv porušení bezpečnosti. Mechanismy kontroly přístupu založené na zařízeních jsou analogové s kontrolními systémy založenými na síti. Pokud dojde k narušení kteréhokoliv komponentu, kontrola přístupu zajišťuje, že narušitel má přístup pouze k omezeným částem systému.
OEM by si měli vybírat zařízení, která jim umožní konfigurovat více uživatelů a přiřadit jim granulární oprávnění k přístupu k různým funkcím zařízení.
ZABEZPEČNÍ SÍTĚ by mělo být na takové úrovni, aby se zařízení před přijímáním nebo odesíláním dat mohlo samo ověřit. Vestavěné zařízení musí často podporovat více způsobů ukládání svých pověření v síti do zabezpečeného úložiště. Správce sítě by je před uvedením měl předem poskytnout na centrálním místě. Zabudovaná a průmyslová IoT zařízení mají jedinečné protokoly, které se liší od tradičních IT protokolů. Brány firewall nebo hloubkové kontroly paketů jsou potřebné pro řízení provozu.
Například průmyslová zařízení používaná ve výrobě mají vlastní sadu protokolů, kterými se řídí komunikace mezi zařízeními a různými kontrolními systémy. Pokud by se malwaru podařilo dostat přes firewall, antivirové techniky založené na kontrole podpisu a černé listiny by identifikovaly a odstranili problém.
ZABEZPEČENÍ DAT a ochrana osobních údajů zůstává hlavním problémem. Bezpečnostní opatření, jako například virtuální privátní sítě (VPN) nebo šifrování fyzických médií, 802.11i (WPA2) nebo 802.1AE (MACsec), byla vyvinuta s cílem zajistit bezpečnost dat v pohybu.
Po uvedení zařízení a bezpečném zabezpečení na síti musí být do zařízení vkládány neustále opravy firmwaru a aktualizace softwaru.
Komplexní bezpečnostní rámec zařízení by měl obsahovat:
ŠIFROVÁNÍ – Důležité je šifrování dat v klidu, ale i na cestě mezi vysílajícím a přijímajícím zařízením, tedy v pohybu. Technologie šifrování dat například Secure Socket Layer (SSL), Transport Layer Security (TLS) a X.509 PKI (Public Key Infrastucture) pro šifrování dat v celé síti. PKI jsou certifikáty využívající autentizaci zařízení se zachováním jejich integrity.
AUTENTIFIKACE – Probíhá prostřednictvím hesla až po dvoufaktorové autentizace. Pro zajištění standardní a podnikové sítě Wi-Fi může vyhovovat např. PSK, Wi-Fi Protected Access 2 (WPA2)-Enterprise a Extensible Authentication Protocol (EAP).
VERIFIKACE - SecureBoot, (kryptograficky ověřuje firmwarové a softwarové balíky během bootování) a aktualizace SecureFirmware-Over-The-Air (FOTA) zabezpečuje, že pouze autorizovaný firmware dostane programem zabezpečené úložiště, které chrání kritické informace o klíči a heslu k zařízení.
OEM, kteří vědomě spolupracují se svými dodavateli, jsou schopni přinášet nový pohled na potřeby a řešení problémových oblastí.
Jedním z nich je i náš dodavatel, společnost Lantronix. Bloky, moduly, brány a IT síťová zařízení společnosti Lantronix poskytují různé integrované technologie, které pomáhají OEM vytvářet bezpečně připojená zařízení, jakož i řešení pro poskytovatele řešení, systémových integrátorů a koncových uživatelů, aby zajistili kompletní bezpečnost IoT pro své aplikace s naprostou bezpečností během celého životního cyklu zařízení.
REFERENCE:
Gartner, Securing the Internet of Things ,
Forbes, Transforming Economic Growth with The Industrial Internet of Things
Wikipedia, Industrie 4.0
Zdroj: Lantronix.com
Nezmeškejte takové články!
Líbí se Vám naše články? Nezmeškejte už ani jeden z nich! Nemusíte se o nic starat, my zajistíme doručení až k Vám.
