Zapewne nikt nie będzie ryzykował, aby wykraść informacje o przebiegu samochodu sąsiada lub liczby podzespołów produkowanych w konkurencyjnej fabryce. Celem ataku niekoniecznie zatem będzie użytkownik urządzenia, ale spółka, z której dane wyciekły.
Urządzenia łączone w IoT wprowadzają ograniczenia, wyzwania i problemy w zakresie bezpieczeństwa oraz wymuszają różne podejście do ich rozwiązywania. Rozwój nowych technologii przynosi nowe zagrożenia i wymagania dotyczące bezpieczeństwa i ochrony danych osobowych. Producenci sprzętu (określani dalej jako producenci OEM) rozbudowują istniejące systemy poprzez innowacyjne technologie. Są to głównie czujniki, systemy komputerowe i urządzenia pamięci masowej dla aplikacji wymagających przetwarzania dużych ilości danych i analityki strumieniowej w chmurze.
Przedsiębiorcy coraz częściej polegają na inteligentnie połączonych urządzeniach we wszystkich aspektach ich działalności. Przejście od sieci prywatnych do sieci obejmujących całe firmy, wymagające łączenia z publicznym internetem, ujawnia niespotykane wcześniej zagrożenia bezpieczeństwa.
Oczekuje się, że do roku 2020 technologia IoT i praca w chmurze obejmie ponad 20 mld urządzeń. Więcej urządzeń online oznacza więcej urządzeń wymagających ochrony.
Starsze urządzenia przemysłowe oraz urządzenia na terenach poprzemysłowych, które są krytyczne dla infrastruktury kraju, stają się łatwym celem ataków. Mówimy o sieciach elektrycznych, infrastrukturze komunikacyjnej, itd. Liczba, różnorodność i wiek tych urządzeń znacznie ułatwiają potencjalny atak.
Jak zatem można zapewnić bezpieczeństwo urządzeń podłączonych do skomplikowanych ekosystemów IoT?
Producenci OEM, dostawcy rozwiązań, integratorzy systemów oraz użytkownicy końcowi muszą wypracować wszechstronną, wielowarstwową strategię, która zapewni kompleksową ochronę urządzeń wdrożonych w IoT. Tradycyjne rozwiązania wykorzystujące zapory i protokoły sieciowe zapewniają ochronę tylko przed wysokim poziomem ruchu internetowego.
Pierwsza warstwa strategii bezpieczeństwa IoT zaczyna się na ochronie sprzętu i oprogramowania podłączonego urządzenia.
Jedną z najczęściej lekceważonych warstw IoT jest CYKL ŻYCIA zabezpieczeń. Potrzeby bezpieczeństwa powinny koncentrować się na:
- początkowym projekcie sporządzonym przez producenta urządzenia,
- środowisku operacyjnym obsługiwanym przez użytkownika końcowego lub integratora systemu,
- ostatecznej likwidacji.
Sprzętowe technologie służące do usuwania złośliwego oprogramowania powstały w celu rozwiązania problemów bezpieczeństwa wspólnych dla wielu stron. Zabezpieczenia takie jak TRUSTED lub SECUREBOOT wymagają od urządzeń weryfikacji oprogramowania sprzętowego i pakietów oprogramowania w czasie uruchamiania za pomocą kryptografii. Gdy podłączone urządzenie zostaje uruchomione, weryfikowana jest autentyczność i integralności oprogramowania na urządzeniu za pomocą zaszyfrowanych podpisów cyfrowych.
Te podpisy cyfrowe zostają dołączone do obrazu oprogramowania i są potwierdzane przez urządzenie w celu zapewnienia, że tylko autoryzowane oprogramowanie podpisane przez wyznaczone podmioty zostanie załadowane i uruchomione w urządzeniu.
Urządzenia wbudowane powinny posiadać magazyn certyfikatów bezpieczeństwa, zaprogramowany w procesie produkcyjnym, w celu ustalenia źródła zaufania.
Po ustaleniu źródła zaufania, podłączone urządzenie nadal potrzebuje ochrony przed różnymi zagrożeniami i złośliwym oprogramowaniem. Wielu producentów urządzeń IoT zaczęło stosować BIAŁE LISTY APLIKACJI w swoich nowych produktach, aby zapobiec narażeniu urządzenia na poziomie aplikacji. Producenci urządzeń wykorzystują białe listy zamiast czarnych list, aby umożliwić pracę w czasie rzeczywistym starszych urządzeń, na których nie mogą być uruchamiane tradycyjne programy antywirusowe. W przypadku środowisk zarządzanych centralnie, stosowanie białych list zatrzymuje wykonanie złośliwego oprogramowania oraz innego nieautoryzowanego oprogramowania poprzez zezwolenie na uruchomienie na urządzeniu tylko aplikacji z listy. Tradycyjne oprogramowanie antywirusowe i inne komputerowe technologie bezpieczeństwa blokują znaną złośliwą działalność, zezwalając jednocześnie na wszystkie inne działania.
Z drugiej strony, białe listy aplikacji traktują wszystkie dane jako nieprawidłowe aż do momentu ich weryfikacji w procesie kontroli danych i dlatego je blokują.
Właściwa KONTROLA DOSTĘPU oparta jest na zasadzie najmniejszego przywileju, która przewiduje, że należy umożliwić jedynie minimalny dostęp, niezbędny do wykonywania funkcji, aby zminimalizować skutki naruszenia bezpieczeństwa. Sprzętowe mechanizmy kontroli dostępu działają analogicznie do sieciowych systemów kontroli dostępu. Jeżeli jakikolwiek element zostanie naruszony, system kontroli dostępu zapewnia, że intruz ma w największym możliwym stopniu ograniczony dostęp do innych części systemu.
Producenci OEM powinni wybierać urządzenia, które pozwalają na konfigurację wielu użytkowników oraz przypisywanie im różnych uprawnień dostępu do poszczególnych funkcji urządzenia.
BEZPIECZEŃSTWO SIECI powinno być skonfigurowane w taki sposób, że urządzenie uwierzytelnia się przed otrzymaniem lub przesłaniem danych. Urządzenia wbudowane muszą często korzystać z wielu sposobów przechowywania poświadczeń sieciowych w swoim bezpiecznym magazynie. Administrator sieci powinien wyposażyć je w centralną lokalizację przed ich wdrożeniem.
Wbudowane i przemysłowe urządzenia IoT wykorzystują unikalne protokoły, różniące się od tradycyjnych protokołów IT. Wymagane jest stosowanie zapory sieciowej lub techniki głębokiej inspekcji pakietów w celu kontroli ruchu kierowanego do urządzenia. Na przykład urządzenia przemysłowe wykorzystywane w produkcji posiadają własny zestaw protokołów określających sposób, w jaki urządzenia komunikują się między sobą oraz z różnymi układami sterowania. Jeżeli złośliwe oprogramowanie zdoła pokonać zaporę sieciową, technologia antywirusowa oparta na dopasowaniu podpisu i wykorzystaniu czarnej listy mogłaby zidentyfikować i rozwiązać problem.
PRYWATNOŚĆ DANYCH oraz poufność pozostaje podstawowym problemem. Środki bezpieczeństwa, takie jak wirtualne sieci prywatne (VPN) lub szyfrowanie nośników fizycznych, np. 802.11i (WPA2) lub 802.1AE (MACsec), zostały opracowane w celu zapewnienia bezpieczeństwa danych w ruchu.
Po umieszczeniu urządzenia w miejscu eksploatacji i bezpiecznym włączeniu do sieci, konieczne jest regularne wgrywanie łatek i aktualizacji oprogramowania.
Kompleksowy system zabezpieczeń urządzenia powinien obejmować:
SZYFROWANIE DANYCH - ważne jest szyfrowanie danych, zarówno tych w spoczynku, jak i tych pomiędzy urządzeniem nadającym i odbierającym, tj. danych w ruchu. Technologie szyfrowania danych, takie jak Secure Socket Layer (SSL), Transport Layer Security (TLS) i standard X.509 kluczy publicznych stosowane są do szyfrowania danych w całej sieci. Klucze publiczne PKI to certyfikaty stosujące uwierzytelnianie urządzeń przy jednoczesnym zachowaniu ich integralności.
UWIERZYTELNIANIE - wykorzystuje hasła, dwustopniowe uwierzytelnianie lub dane biometryczne. W celu zabezpieczenia standardowej i biznesowej sieci WiFi można zastosować np. PSK, Wi-Fi Protected Access 2 (WPA2)-Enterprise i ExtensibleAuthenticationProtocol (EAP).
WERYFIKACJA - SecureBoot, (kryptograficznie weryfikuje pakiety firmware i software w czasie uruchamiania) oraz SecureFirmware-Over-The-Air (FOTA) - aktualizacje dostarczane bezprzewodowo gwarantują, że tylko autoryzowane oprogramowanie sprzętowe otrzyma zaprogramowany bezpieczny magazyn poświadczeń, chroniący krytyczne klucze i hasła w urządzeniu.
Producenci OEM, którzy ściśle współpracują ze swoimi dostawcami, są w stanie rzucić nowe spojrzenie na potrzeby i sposoby rozwiązywania problemów. Jednym z nich jest nasz dostawca Lantronix. Bloki, moduły, bramy i urządzenia sieciowe oferują różnorodne zintegrowane technologie. Mają one na celu wesprzeć producentom OEM w budowaniu bezpiecznych połączonych urządzeń, jak również udostępniają rozwiązania dla dostawców rozwiązań, integratorów systemów oraz użytkowników końcowych, umożliwiające wdrożenie kompleksowych systemów bezpieczeństwa urządzeń IoT z pełnym cyklem życia zabezpieczeń.
PIŚMIENNICTWO:
Gartner, Securing the Internet of Things ,
Forbes, Transforming Economic Growth with The Industrial Internet of Things
Wikipedia, Industrie 4.0
Źródło: Lantronix.com
Czy spodobały Ci się nasze artykuły? Nie przegap żadnego! Zajmiemy się wszystkim za Ciebie i chętnie sami Ci je dostarczymy.