Berta Sándor
Teljesen szabályozatlan a "dolgok internetének" biztonsága
Fontosak lehetnek a hosszú távú biztonsági funkciók az IoT-eszközökben.
Kényelmes dolog, ha okos eszközeink az internetre csatlakozva gyűjtik az adatokat és kommunikálnak egymással annak érdekében, hogy számunkra minden gördülékenyen menjen. Például az okosautónk hazaszól az okosotthonunknak, hogy elindultunk hazafelé a munkából, és bekapcsolhatja a légkondicionálót, hogy kellemes hűvös várjon minket. De ami az internethez kapcsolódik, azt fel is törhetik rosszindulatú személyek, és visszaélhetnek az adott eszköz képességeivel. A légkondival talán nem okozhatnak komoly kárt, de egy autóval már annál inkább. (Nemrégiben adtunk hírt arról, hogy két hacker képes volt távolról átvenni az uralmat egy Jeep Cherokee jármű felett, miközben az 110 km/h sebességgel száguldott az autópályán.)
A Gartner jóslatai szerint 2020-ra összesen 26 milliárd eszköz csatlakozik az internethez. Az összekapcsolt, egymással kommunikálni képes eszközök használata dinamikusan terjed. Még azok az iparágak és közösségek is nyitnak ebbe az irányba, amelyekről elsőre a legtöbben nem is feltételeznék. Például egyes fejlesztők olyan különleges, digitális nyakörveken dolgoznak, amelyekkel a juhtenyésztők nyomon követhetik az állatok mozgását. A Dolgok Internetének (IoT) részét képező új eszközök képességei és funkciói teljesen újszerűnek és példa nélkül állónak számítanak.
Ezek a készülékek számos ponton különböznek a mobil eszközöktől, és eltérnek a jelenlegi internet gerincét képező hagyományos készülékektől, például asztali gépektől, szerverektől és routerektől. Ráadásul az IoT-eszközök egymáshoz is nehezen mérhetők, érdemes például a fentebb említett nyomkövetős nyakörvet összevetni egy okoshűtővel. Gyanúra adhat okot például, ha egy ilyen berendezés túl sok e-mailt küld, miközben ezt a funkciót csak arra kellene használnia, hogy az apadó készletekre emlékeztesse tulajdonosát. Ha a cégvezetőktől kezdve a háziasszonyokon át a farmerekig mindenki hasonló eszközt használ, muszáj gondoskodni azok biztonságáról. Ekkora számú "dolog" mellett azonban az IT-biztonsági szakértőknek teljesen új megközelítést kell keresniük, nem támaszkodhatnak a hagyományos hálózati eszközökkel szerzett tapasztalatokra.
Manapság mindenki igyekszik online funkciókat is adni termékéhez, legyen az háztartási elektronika (légkondicionáló, lámpa, termosztát) vagy ruha (cipő, óra, szemüveg)
Az IoT-eszközök esetében teljesen más biztonsági kérdések merülnek fel, mint a hagyományos készülékeknél, hiszen jóval nagyobb számban vannak jelen, az interakcióik pedig eltérő jellegűek és összetettebbek. Az IoT-eszközök milliárdjai között zajló kommunikációhoz hasonlót még soha senki nem tapasztalt, ezért nem tudhatjuk, mire számíthatunk, mire kell felkészülnünk. Iparági és állami szakértők egyaránt komoly munkát fordítanak arra, hogy a lehető leginkább biztonságossá tegyék ezeket az eszközöket. Ugyanakkor biztosak lehetünk benne, hogy akadnak majd olyan kiberbűnözők, akik bármilyen új sebezhetőséget kihasználnak.
A dolgok internetéhez kapcsolódó készülékeket gyártók és fejlesztők, illetve a termékekkel kereskedők segítésére biztonsági irányelveket adott ki az Online Trust Alliance (OTA) nevű szervezet. A szervezet tagja többek között a Microsoft, a Symantec, az ADT, az AVG, a Target, a Truste és a Verisign. Az OTA hangsúlyozta: az IoT-megoldásoknak nem csak a megvásárlásukkor, hanem folyamatosan biztonságosaknak kell lenniük. Amennyiben ez nem valósul meg, akkor előfordulhat, hogy a hackerek a távolból kinyithatják a garázskapukat, bekapcsolhatják a bébiőr készülékeket, az egészségügyi adatok megszerzése miatt feltörhetik a viselhető fitneszeszközöket vagy károkozás céljából szabotálhatják az internetképes háztartási berendezéseket.
Craig Spiezle, az OTA vezetője közölte, hogy számos biztonsági és adatvédelmi kérdés tisztázatlan még, például, hogy tudja-e egy felhasználó, hogy ki gyűjti és kapja meg egy viselhető fitneszterméknél az adatait? Vagy ha egy intelligens házhoz kapcsolódó terméket vásárol, akkor milyen a hosszú távú (a garancia lejárta utáni) biztonsági frissítési, hibajavítási stratégia? Vagy miként védik meg az okostévék gyártói a készülékeiket a beépített kamerák és mikrofonok segítségével végrehajtott adatlopásokkal szemben?
Az intelligens otthon-funkciók ára eltörpül az általuk nyújtott kényelem és lehetséges energiamegtakarítás mellett
Az IoT Trust Framework néven csokorba gyűjtött szabályok alapján a gyártóknak már a vásárlás előtt ismertetniük kellene a vevőkkel az adatvédelmi szabályokat, s minden személyes adatot kizárólag titkosítva szabad tárolniuk és továbbítaniuk. A fogyasztókat tájékoztatni kellene arról is, hogy egy eszköz adatokat gyűjt, továbbít és milyen funkciókat korlátoznak, ha nem engedélyezi az információk továbbadását.
A gyártóknak engedélyezniük kellene, hogy biztonsági szempontból bárki tesztelhesse a termékeiket és nyilvánosságra kellene hozniuk a biztonsági hibákat. A személyes adatokat pedig csak akkor adhatnák tovább harmadik félnek, ha az kötelezi magát a titoktartásra és az információkat csak az előzetesen közölt célokra használja fel. A javaslatok között van az is, hogy minden IoT-készüléket egyéni jelszóval lehessen ellátni, amelyet az első használatkor a vásárló köteles legyen kicserélni.
Az OTA olyan eszközöket és módszereket akar majd ősztől kínálni, amelyekkel lehetővé válik az IoT-megoldások kategóriákba sorolása, így minden vásárló azonnal láthatná, hogy mennyire biztonságos az általa kiválasztott termék. A tervek között szerepel egy tanúsítványprogram elindítása, s egy önkéntes magatartáskódex kidolgozása és bevezetése is.
Kényelmes dolog, ha okos eszközeink az internetre csatlakozva gyűjtik az adatokat és kommunikálnak egymással annak érdekében, hogy számunkra minden gördülékenyen menjen. Például az okosautónk hazaszól az okosotthonunknak, hogy elindultunk hazafelé a munkából, és bekapcsolhatja a légkondicionálót, hogy kellemes hűvös várjon minket. De ami az internethez kapcsolódik, azt fel is törhetik rosszindulatú személyek, és visszaélhetnek az adott eszköz képességeivel. A légkondival talán nem okozhatnak komoly kárt, de egy autóval már annál inkább. (Nemrégiben adtunk hírt arról, hogy két hacker képes volt távolról átvenni az uralmat egy Jeep Cherokee jármű felett, miközben az 110 km/h sebességgel száguldott az autópályán.)
A Gartner jóslatai szerint 2020-ra összesen 26 milliárd eszköz csatlakozik az internethez. Az összekapcsolt, egymással kommunikálni képes eszközök használata dinamikusan terjed. Még azok az iparágak és közösségek is nyitnak ebbe az irányba, amelyekről elsőre a legtöbben nem is feltételeznék. Például egyes fejlesztők olyan különleges, digitális nyakörveken dolgoznak, amelyekkel a juhtenyésztők nyomon követhetik az állatok mozgását. A Dolgok Internetének (IoT) részét képező új eszközök képességei és funkciói teljesen újszerűnek és példa nélkül állónak számítanak.
Ezek a készülékek számos ponton különböznek a mobil eszközöktől, és eltérnek a jelenlegi internet gerincét képező hagyományos készülékektől, például asztali gépektől, szerverektől és routerektől. Ráadásul az IoT-eszközök egymáshoz is nehezen mérhetők, érdemes például a fentebb említett nyomkövetős nyakörvet összevetni egy okoshűtővel. Gyanúra adhat okot például, ha egy ilyen berendezés túl sok e-mailt küld, miközben ezt a funkciót csak arra kellene használnia, hogy az apadó készletekre emlékeztesse tulajdonosát. Ha a cégvezetőktől kezdve a háziasszonyokon át a farmerekig mindenki hasonló eszközt használ, muszáj gondoskodni azok biztonságáról. Ekkora számú "dolog" mellett azonban az IT-biztonsági szakértőknek teljesen új megközelítést kell keresniük, nem támaszkodhatnak a hagyományos hálózati eszközökkel szerzett tapasztalatokra.
Manapság mindenki igyekszik online funkciókat is adni termékéhez, legyen az háztartási elektronika (légkondicionáló, lámpa, termosztát) vagy ruha (cipő, óra, szemüveg)
Az IoT-eszközök esetében teljesen más biztonsági kérdések merülnek fel, mint a hagyományos készülékeknél, hiszen jóval nagyobb számban vannak jelen, az interakcióik pedig eltérő jellegűek és összetettebbek. Az IoT-eszközök milliárdjai között zajló kommunikációhoz hasonlót még soha senki nem tapasztalt, ezért nem tudhatjuk, mire számíthatunk, mire kell felkészülnünk. Iparági és állami szakértők egyaránt komoly munkát fordítanak arra, hogy a lehető leginkább biztonságossá tegyék ezeket az eszközöket. Ugyanakkor biztosak lehetünk benne, hogy akadnak majd olyan kiberbűnözők, akik bármilyen új sebezhetőséget kihasználnak.
A dolgok internetéhez kapcsolódó készülékeket gyártók és fejlesztők, illetve a termékekkel kereskedők segítésére biztonsági irányelveket adott ki az Online Trust Alliance (OTA) nevű szervezet. A szervezet tagja többek között a Microsoft, a Symantec, az ADT, az AVG, a Target, a Truste és a Verisign. Az OTA hangsúlyozta: az IoT-megoldásoknak nem csak a megvásárlásukkor, hanem folyamatosan biztonságosaknak kell lenniük. Amennyiben ez nem valósul meg, akkor előfordulhat, hogy a hackerek a távolból kinyithatják a garázskapukat, bekapcsolhatják a bébiőr készülékeket, az egészségügyi adatok megszerzése miatt feltörhetik a viselhető fitneszeszközöket vagy károkozás céljából szabotálhatják az internetképes háztartási berendezéseket.
Craig Spiezle, az OTA vezetője közölte, hogy számos biztonsági és adatvédelmi kérdés tisztázatlan még, például, hogy tudja-e egy felhasználó, hogy ki gyűjti és kapja meg egy viselhető fitneszterméknél az adatait? Vagy ha egy intelligens házhoz kapcsolódó terméket vásárol, akkor milyen a hosszú távú (a garancia lejárta utáni) biztonsági frissítési, hibajavítási stratégia? Vagy miként védik meg az okostévék gyártói a készülékeiket a beépített kamerák és mikrofonok segítségével végrehajtott adatlopásokkal szemben?
Az IoT Trust Framework néven csokorba gyűjtött szabályok alapján a gyártóknak már a vásárlás előtt ismertetniük kellene a vevőkkel az adatvédelmi szabályokat, s minden személyes adatot kizárólag titkosítva szabad tárolniuk és továbbítaniuk. A fogyasztókat tájékoztatni kellene arról is, hogy egy eszköz adatokat gyűjt, továbbít és milyen funkciókat korlátoznak, ha nem engedélyezi az információk továbbadását.
A gyártóknak engedélyezniük kellene, hogy biztonsági szempontból bárki tesztelhesse a termékeiket és nyilvánosságra kellene hozniuk a biztonsági hibákat. A személyes adatokat pedig csak akkor adhatnák tovább harmadik félnek, ha az kötelezi magát a titoktartásra és az információkat csak az előzetesen közölt célokra használja fel. A javaslatok között van az is, hogy minden IoT-készüléket egyéni jelszóval lehessen ellátni, amelyet az első használatkor a vásárló köteles legyen kicserélni.
Az OTA olyan eszközöket és módszereket akar majd ősztől kínálni, amelyekkel lehetővé válik az IoT-megoldások kategóriákba sorolása, így minden vásárló azonnal láthatná, hogy mennyire biztonságos az általa kiválasztott termék. A tervek között szerepel egy tanúsítványprogram elindítása, s egy önkéntes magatartáskódex kidolgozása és bevezetése is.