Internet Rzeczy: jak zadbać o cyberbezpieczeństwo IoT i IIoT?

Przeczytaj także: IIoT, czyli rewolucja, która omija polski przemysł?

Każde nowe urządzenie podpięte do Internetu jest dla atakującego furtką, która może dać mu dostęp do domów, biur i hal produkcyjnych. Żeby tego uniknąć, trzeba przede wszystkim wiedzieć, jakie urządzenia IoT i IIoT są aktywne w naszej sieci, odpowiednio je zabezpieczyć i ukryć przed cyberprzestępcami – mówi Mateusz Ossowski, CEE Channel Manager w Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

IoT i IIoT – problemy i wyzwania dla przedsiębiorstw

Konsumenckie urządzenia IoT mają być przede wszystkim łatwe w instalacji. Zwykle wyświetlają ostrzeżenie o konieczności zmiany hasła administratora, niektóre pozwalają na automatyczną aktualizację oprogramowania. Większość użytkowników chce jednak po prostu zacząć ich używać, nie zwraca więc większej uwagi na zabezpieczenia. Otwiera tym samym drogę cyberprzestępcom nie tylko do swojej domowej sieci, ale też do sieci firmowej, jeśli takie urządzenie zostanie w nią wpięte bez autoryzacji.

W przypadku urządzeń przemysłowego Internetu rzeczy i systemów OT (Operational Technology), takich jak czujniki, kontrolery, pompy, maszyny, kamery itd., sytuacja jest bardziej skomplikowana. Wiele z nich ma poważne podatności bezpieczeństwa, które nie mogą zostać usunięte.

Komunikujące się ze sobą i podłączone do sieci urządzenia przemysłowe często biorą udział w zarządzaniuinfrastrukturą krytyczną, łańcuchami dostaw, operacjami bezpieczeństwa i różnymi procesami produkcyjnymi. Wiele z tych systemów działa w przedsiębiorstwach od dziesięcioleci bez jakiekolwiek aktualizacji. Producenci części z nich już dawno zniknęli z rynku. Nie dostarczają więc nowych łatek czy bardziej stabilnych wersji. A to oznacza, że firmy nie są chronione przed podatnościami – dodaje Mateusz Ossowski.

Urządzenia często są nie tylko przestarzałe, ale też źle skonfigurowane. Dodatkowy problem pojawia się w projektach wdrożeniowych, które trwają kilka lat. Technologie takie jak IoT i IIoT bardzo szybko się rozwijają, zatem różnice w możliwościach urządzeń zainstalowanych i skonfigurowanych na początku i po kilku latach trwania projektu mogą być ogromne i generować luki w zabezpieczeniach oraz brak kompatybilności.

Niezawinione podatności

Ryzyko płynące z używania urządzeń podłączonych do Internetu nie musi wynikać ze złego zarządzania siecią IoT i OT czy przestarzałych systemów przemysłowych. Czasem firmy kupują urządzenia z podatnościami.

• Inteligentne wideodomofony jednej z firm miały lukę w zabezpieczeniach, która pozwalała przestępcom na dostęp do sieci, kradzież zdjęć i filmów oraz przejęcie kontroli nad kamerą, mikrofonem i zamkami.
  
• Setki tysięcy lokalizatorów GPS dostarczonych przez Shenzhen i365 Tech miało ustawione domyślne hasło "123456". Oczywiście świadomy użytkownik może zmienić hasło, niemniej urządzenia miały także inne podatności, które pozwalały cyberprzestępcom przejąć kontrolę nad lokalizatorami, sterować mikrofonem i głośnikiem oraz śledzić położenie użytkownika.

Luk w zabezpieczeniach urządzeń IoT i IIoT nie brakuje. Cyberprzestępcy o tym wiedzą, dlatego szukają takich źle lub w ogóle niechronionych elementów podpiętych do sieci firmowych. Przejmując nad nimi kontrolę, uzyskują dostęp do cennych zasobów i poważnie zagrażają działalności firmy – komentuje Mateusz Ossowski z Barracuda Networks.

Jak ochronić urządzenia IoT i OT?

Miliardy połączonych urządzeń IoT i OT w domach i firmach na całym świecie dają cyberprzestępcom bardzo wiele możliwości ataków. Można jednak zminimalizować to ryzyko.

Wskazówki dla przedsiębiorców:

• Odseparuj urządzenia IoT/OT od systemów i danych krytycznych, aby ograniczyć zasięg tego, który zostanie przejęty przez cyberprzestępcę. Przydatna może być w tym przypadku segmentacja sieci, która nie pozwoli intruzowi dostać się do wrażliwych danych i aplikacji biznesowych.
• Aktualizuj na bieżąco katalog wszystkich urządzeń IoT i OT podłączonych do sieci. Włącz je do firmowej strategii zarządzania łatkami i aktualizacjami. Monitoruj ich działanie i obserwuj anomalie. Nie pozwalaj na podłączenie do sieci nieautoryzowanych urządzeń IoT, takich jak inteligentne sprzęty AGD, i usuwaj z sieci nieużywane lub niezarządzane urządzenia.
• Zmieniaj domyślne hasła urządzeń od razu po ich włączeniu do sieci. Wymuszaj silną politykę haseł. Włącz wieloskładnikowe uwierzytelniania (MFA) tam, gdzie jest to możliwe.
• Wszędzie gdzie to jest możliwe, wybieraj urządzenia certyfikowane pod kątem cyberbezpieczeństwa. Zwracaj przy tym uwagę na to, czy i na jaki okres producent danego rozwiązania zapewnia wsparcie dla aktualizacji i poprawek bezpieczeństwa.
• Wprowadź odpowiednie strategie bezpieczeństwa, obejmujące wymuszanie skomplikowanych haseł, stosowanie MFA, zasadę najmniejszych uprawnień i szkolenia pracowników w zakresie cyberbezpieczeństwa (z uwzględnieniem IoT/OT).

Wskazówki dla użytkowników prywatnych:

• Upewnij się, że twój domowy router jest zabezpieczony unikalnym i skomplikowanym hasłem oraz jeśli to możliwe – wieloskładnikowym uwierzytelnianiem (MFA). Zmień domyślne dane logowania natychmiast po aktywacji urządzenia, włącz szyfrowanie i instaluj aktualizacje, gdy tylko zostaną udostępnione przez producenta.
• Podłącz swoje urządzenia IoT do sieci gościnnej, aby ograniczyć ich dostęp do domowych komputerów. To zmniejsza ryzyko naruszenia danych.
• Wszędzie, gdzie jest to możliwe, stosuj separację pomiędzy siecią komunikacji IoT a standardową siecią domową dla urządzeń końcowych, takich jak laptopy/komputery. W tym celu możesz stosować bramki komunikacyjne dla protokołów takich jak BLE czy Zigbee.