Internet věcí slabým místem pro domácnosti a firmy

Tags: Domácnosti | Firmy | Internet | IoT | Kyberútoky | Zranitelnost

Chyt­rá za­ří­ze­ní při­po­je­ná k in­ter­ne­tu před­sta­vu­jí dlou­ho­do­bě bez­peč­nost­ní hroz­by. Na­pří­klad chyt­ré elek­tro­mě­ry – u nichž exis­tu­je re­ál­né ri­zi­ko, že při na­pa­de­ní mohou způ­so­bit vážné po­ru­chy či do­kon­ce black­out v roz­sa­hu celé sítě. Stej­ně ri­zi­ko­vá jsou však i další za­ří­ze­ní – dveř­ní zámky, osvět­le­ní, ter­mosta­ty, ohří­va­če vody, led­nič­ky nebo fo­to­vol­taic­ké elek­trár­ny a ba­te­ri­o­vá úlo­žiš­tě.

Všech­ny lze totiž na dálku ovlá­dat skrze chyt­ré te­le­fo­ny a clou­do­vá roz­hra­ní, která jsou čas­tým ter­čem útoků.

Po­dob­né hroz­by se pře­ná­še­jí i do fi­rem­ní­ho pro­stře­dí. Zde mohou být cílem útoč­ní­ků nejen běžné po­čí­ta­če, ale také sí­ťo­vé tis­kár­ny, ká­vo­va­ry, bez­peč­nost­ní ka­me­ry, pří­stu­po­vé sys­témy nebo fi­rem­ní vo­zo­vý park. Známé jsou již pří­pa­dy zne­u­ži­tí na­pří­klad hla­so­vé­ho ovlá­dá­ní, kdy bylo za­ří­ze­ní na­sta­ve­no k pře­no­su dat bez vě­do­mí uži­va­te­le. U mul­ti­funkč­ních tis­ká­ren pak do­chá­zí k au­to­ma­tic­ké­mu pře­po­sí­lá­ní na­ske­no­va­ných do­ku­men­tů na cizí e-mai­lo­vé ad­re­sy. Známý je také pří­pad hack­nu­tí firmy, při němž útoč­ní­ci vy­u­ži­li zra­ni­tel­nost v chyt­rém akva­rij­ním tep­lo­mě­ru.

Na­pad­nout se dá v pod­sta­tě každé za­ří­ze­ní, které ně­ja­kým způ­so­bem ko­mu­ni­ku­je – ať už přes in­ter­net, nebo lo­kál­ně po vnitř­ní sběr­ni­ci. Kvůli tlaku na rych­lou vý­ro­bu a nízké ceny jsou při­tom často vy­u­ží­vá­ny levné kom­po­nen­ty bez dů­klad­né­ho bez­peč­nost­ní­ho ná­vr­hu.

Exis­tu­jí do­kon­ce ve­řej­ně do­stup­né da­ta­bá­ze, kde lze vy­hle­dat IP ad­re­sy zra­ni­tel­ných za­ří­ze­ní podle vý­rob­ce, lo­ka­li­ty nebo verze fir­m­wa­ru. Hac­ke­ři často útočí tam, kde lze zís­kat přímý pří­stup ke kon­krét­ní firmě – nej­čas­tě­ji kvůli prů­mys­lo­vé špi­o­ná­ži.
Zís­ká­ní kon­t­ro­ly nad zdán­li­vě ne­škod­ným za­ří­ze­ním, jako je sí­ťo­vá tis­kár­na, pří­stu­po­vý sys­tém nebo karta za­měst­nan­ce, může vést k úniku cit­li­vých dat. Od­bor­ní­ci při­po­mí­na­jí, že už v příš­tím roce může být podle kva­li­fi­ko­va­ných od­ha­dů více než čtvr­ti­na všech ky­ber­ne­tic­kých útoků na pod­ni­ky za­lo­že­na právě na zra­ni­tel­nos­tech v tzv. in­ter­ne­tu věcí (IoT).

V po­sled­ní době navíc vy­vo­lal roz­ruch pří­pad od­ha­le­ní ne­zdo­ku­men­to­va­ných ko­mu­ni­kač­ních kom­po­nent v ovlá­da­cích prv­cích ně­kte­rých fo­to­vol­taic­kých elek­trá­ren. Na roz­díl od te­le­ko­mu­ni­ka­cí a kri­tic­kých částí 5G sítí, kde je přís­ně za­ká­zá­no po­u­ží­vat kom­po­nen­ty ně­kte­rých čín­ských vý­rob­ců kvůli oba­vám z ky­ber­ne­tic­kých hro­zeb, toto ne­pla­tí u so­lár­ních elek­trá­ren a ba­te­ri­o­vých úlo­žišť. Mnoho lidí a in­sti­tu­cí si ne­u­vě­do­mu­je ri­zi­ka vy­u­ži­tí ba­te­ri­o­vých úlo­žišť a kom­po­nen­tů vy­ro­be­ných v Číně. A to ri­zi­ka zejmé­na ky­ber­ne­tic­ké.

Hard­ware i soft­ware je vy­ro­be­ný v Číně, nelze však zjis­tit, kam se všude uklá­da­jí a po­sí­la­jí data. Nikdo tak ne­mů­že vy­lou­čit zne­u­ži­tí ba­te­ri­o­vých úlo­žišť na úspěš­něj­ší útoky na kri­tic­kou ener­ge­tic­kou in­frastruk­tu­ru, ale i ochro­me­ní čin­nos­ti vět­ších i men­ších firem a in­sti­tu­cí či krá­de­že dat.

Uži­va­te­lé tak často ani ne­tu­ší, že je­jich za­ří­ze­ní ko­mu­ni­ku­je s vněj­ším svě­tem. Výběr spo­leh­li­vé­ho do­da­va­te­le je proto klí­čo­vý. Tam, kde je to možné, bychom měli všech­na chyt­rá za­ří­ze­ní od­dě­lit do sa­mo­stat­ných sítí, aby pří­pad­ná kom­pro­mi­ta­ce ne­o­hro­zi­la celé fi­rem­ní nebo do­má­cí pro­stře­dí.

Za­ří­ze­ním, která ne­po­tře­bu­jí in­ter­net pro svůj pro­voz, bychom měli ko­mu­ni­ka­ci vhod­ně ome­zit po­mo­cí fi­rewallu. Další zá­sad­ní krok před­sta­vu­je pra­vi­del­ná ak­tu­a­li­za­ce soft­wa­ru – což je v praxi často podceňované. Re­a­li­ta je bo­hu­žel velmi vzdá­le­ná ide­á­lu. Vět­ši­na uži­va­te­lů fir­m­ware svých za­ří­ze­ní ne­ak­tu­a­li­zu­je vůbec, přes­to­že právě tyto ak­tu­a­li­za­ce často opra­vu­jí známé bez­peč­nost­ní chyby.