Posted inInne

Bezpieczeństwo urządzeń IoT

Brak komentarzy.
Internet of things - IOT - internet rzeczy - zalecenia bezpieczeństwa

Zwiększa się liczba urządzeń podłączonych do sieci – to fakt. Mamy coraz więcej smart urządzeń (pralek, lodówek, kamer, czujników, termostatów itp.), które wymagają podłączenia do sieci. Internet Rzeczy z roku na rok staje się coraz bardziej popularny, co z jednej strony ułatwia życie ale też niesie za sobą pewne zagrożenia. W tym wpisie dowiemy się jakie z czym wiąże się używanie urządzeń IoT i powinniśmy zrobić aby zabezpieczyć nasz sprzęt.

W odpowiedzi na wyzwania dotyczące bezpieczeństwa urządzeń IoT, brytyjski Departament ds. Cyfryzacji, Kultury, Mediów i Sportu (DCMS) we współpracy z Narodowym Centrum Cyberbezpieczeństwa (NCSC) opracował „Kodeks postępowania dla bezpieczeństwa konsumenckich urządzeń IoT”.

Jaki jest cel takiego kodeksu?

Kodeks ma na celu dostarczenie praktycznych wytycznych dla producentów, dostawców, programistów  czy użytkowników urządzeń IoT ale również ekspertów branżowych w zakresie podnoszenia poziomu bezpieczeństwa produktów i powiązanych usług. Wdrożenie tych zaleceń ma przyczynić się do ochrony prywatności i bezpieczeństwa użytkowników, ułatwiając jednocześnie bezpieczne korzystanie z tych technologii. Ważne jest aby a produkty i usługi były projektowane z myślą o bezpieczeństwie przez cały cykl życia.

Najbardziej priorytetowe są pierwsze trzy zalecenia dlatego, że mają duży wpływ w krótkim okresie.

  1. Domyślne hasła – urządzenia są sprzedawane z domyślnymi hasłami administratora, które łatwo znaleźć w internecie. Te hasła powinny zostać zmienione przez użytkownika, jednak nie każdy je zmienia. Użytkownicy muszą zmieniać hasła podczas konfiguracji a producenci mogliby np. wymusić na użytkowniku tę zmianę.
  2. Procedury zgłaszania podatności – każdy z producentów powinien mieć jasno sprecyzowany sposób zgłaszania podatności przez konsumentów czy ekspertów bezpieczeństwa. Te informacje pozwolą producentom na terminowe łatanie luk w oprogramowaniu.
  3. Aktualizacje – kolejna ważna rzecz czyli zapewnienie regularnych aktualizacji oprogramowania urządzeń w taki sposób, aby nowe instalacja oprogramowania nie miała wpływu na funkcjonowanie urządzenia to znaczy tak, aby zegarek podczas aktualizacji nadal wskazywał godzinę a termostat powinien nadal działać. Potrzebne są też polityki, które jasno określają minimalny czas wsparcia urządzenia przez producenta czyli czas, w jakim producent będzie udostępniał aktualizację. Dodatkowo każda aktualizacja powinna być prosta do wdrożenia i dokładnie opisana. Brak regularnych łatek naraża urządzenia na ataki związane z przejęciem kontroli nad urządzeniem czy z wyciekiem danych.
  4. Bezpieczne przechowywanie danych wrażliwych – w tym punkcie brytyjski Departament zwraca uwagę no to, że hasła i klucze kryptograficzne czy ogólnie mówiąc dane uwierzytelniające powinny być bezpiecznie przechowywane w usługach i na urządzeniach tak, aby niemożliwe było przechwycenie ich przez osoby niepowołane. Chodzi o to, aby nie używać trywialnych metod zaciemniania informacji na przykład nazwy użytkownika czy hasła ponieważ podczas inżynierii wstecznej te dane mogą zostać odczytane.
  5. Bezpieczna komunikacja – tutaj zwraca się uwagę przede wszystkim na szyfrowanie danych w transporcie odpowiednio do technologii czy użytkowania. Zachęca się do korzystania z otwartych standardów.
  6. Minimalizacja powierzchni ataku – wszelkie usługi powinny działać wedle zasady najmniejszych uprawnień. Jest to podstawa dobrego bezpieczeństwa. Chodzi o to aby porty, które nie są używane były zamknięte, usługi, które nie są używane były niedostępne a kod był tak zoptymalizowany, aby zawierał tylko elementy niezbędne do działania usługi.
  7. Integralność oprogramowania – w przypadku wykrycia nieautoryzowanej zmiany czy dostępu urządzenie powinno powiadomić użytkownika lub administratora o problemie i uruchomić plan awaryjny, który nie będzie pozwalał na łączenie się z sieciami innymi niż te, które są niezbędne do wykonania ostrzeżenia. Cenna będzie też opcja umożliwiająca zdalne odzyskiwanie w takich sytuacjach – na przykład wykorzystując ostatnią dobrą wersję oprogramowania czy urządzenia tak aby mu umożliwić bezpieczne przywrócenie do wcześniejszego stanu.
  8. Ochrona danych osobowych – kiedy urządzenia czy usługi przetwarzają dane osobowe, to przetwarzanie odbywa się zgodnie z obowiązującym prawem. Producenci i dostawcy IoT powinni dostarczać jasne i przejrzyste informacje o sposobie wykorzystywania danych klientów. Użytkownik powinien wiedzieć kto i do jakich celów, dla którego urządzenia czy usługi przetwarza jego dane.
  9. Odporność na awarie – powinny być wbudowane mechanizmy które zapewnię dalsze działanie urządzenia po mimo problemów z siecią czy z zasilaniem. Na tyle na ile to możliwe usługi nadal powinny działać lokalnie i w prosty sposób powrócić do normalnego działania w przypadku naprawienia awarii. Jeśli mamy do czynienia z większą liczbą urządzeń, te urządzenia sukcesywnie jeden po drugim powinny w uporządkowany sposób ponownie powracać do działania w sieci.
  10. Monitoring danych telemetrycznych – dane telemetryczne to dane dotyczące użytkowania. Monitorowanie tych danych, w tym danych z dziennika jest przydatne do oceny bezpieczeństwa i może posłużyć do wczesnego zidentyfikowania anomalii. Wczesne wykrycie problemu minimalizuje ryzyko i umożliwia szybką naprawę problemu.
  11. Uproszczenie procesu usuwania danych osobowych konsumentów – odwołując się do punktu numer 8, urządzenia IoT mogą zawierać dane osobowe klientów. Jak każde urządzenie, również urządzenia Internetu Rzeczy mogą być odsprzedane. To z kolei wiąże się z potrzebą usunięcia wszelkich danych z w tym też danych osobowych. Producent powinien dostarczyć jasne instrukcje dotyczące możliwości usuwania swoich danych osobowych z urządzenia czy z usług.
  12. Uproszczona instalacja i konserwacja urządzenia – interfejs użytkownika powinien być tak zaprojektowany, aby klient chcąc zmienić konfigurację nie miał z tym problemów oraz aby zmiana konfiguracji nie miała wpływu na kwestie bezpieczeństwa. Skuteczne mogą się tu okazać jasne wskazówki dla użytkownika dotyczące konfiguracji tak aby zminimalizować ryzyko narażenia na zagrożenia.
  13. Weryfikacja danych wyjściowych – dane wprowadzane przez użytkownika czy przesyłane poprzez interfejsy API mogą być nieprawidłowo sformatowane. Mogą też zostać użyte przez atakujących, którzy wykorzystując potencjalne luki pojawiające się w wyniku braku weryfikacji wprowadzonych danych. Warto te dane weryfikować np. czy nie są one kodem wykonywalnym czy wartością spoza dopuszczonego zakresu.

Artykuł przygotowany na podstawie zaleceń brytyjskiego departamentu.

Link: www.gov.uk

Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *