Tanie gadżety otwierają drzwi cyberprzestępcom do naszego domu

Inteligentne domy mają ułatwić nam życie, ale brak kontroli nad ich oprogramowaniem powoduje, że łatwo mogą stać się celem cyberataków. W wielkiej fascynacji inteligentnymi odkurzaczami, czujnikami i asystentami głosowymi brakuje zwrócenia uwagi na bezpieczeństwo.

Internet Rzeczy i smart home to modne hasła opisujące umieszczanie w naszych domach inteligentnych urządzeń, które dysponują dostępem do sieci. W ostatnim czasie liczba takich gadżetów w naszym życiu zdecydowanie rośnie: już w 2018 r. liczba podłączonych do Internetu domowych urządzeń przekroczyła liczbę smartfonów. Zaliczają się do nich na przykład autonomiczne odkurzacze, odświeżacze powietrza, inteligentne żarówki, głośniki oraz kamerki mające czuwać nad bezpieczeństwem domu. Według danych Ericssona liczba urządzeń tworzących tak zwany Internet Rzeczy ma wynieść aż 18 miliardów w 2022 r. Zapomina się tu o cyberbezpieczeństwie, a właściwie jego braku w takich urządzeniach.

Użytkownicy w nierównej walce z niewiedzą

Niewiele osób ma świadomość tego, że łącząc się z siecią, większość urządzeń wysyła dane na serwery firm. Dane są przesyłane do serwerów producenta lub operatora rozwiązania i to z nimi łączymy się z naszej aplikacji na smartfonie, aby móc włączyć światło w kuchni. Z jednej strony pozwala to nam sterować urządzeniem z dowolnego miejsca na świecie. Z drugiej taki model komunikacji stanowi zagrożenie, ułatwia bowiem atak z zewnątrz. Warto zresztą samodzielnie wykonać test i sprawdzić, jak dużo danych nasz nowy głośnik albo oczyszczacz jest w stanie wysłać na serwery producenta. Wyniki mogą zaskoczyć. Miałem okazję sprawdzić, ile jeden inteligentny odkurzacz wysyła danych w ciągu miesiąca. Okazało się, że to 3 GB informacji, które podobno mają służyć usprawnieniu jego działania. Co z tego mają sami użytkownicy? Teoretycznie lepiej działające urządzenia oraz, niejednokrotnie, bardziej dobrane reklamy.

Realne zagrożenie z wirtualnego świata

Ataki na urządzenia Internetu Rzeczy już się dzieją. W 2016 r. doszło do ataku na inteligentne termostaty w dwóch apartamentowcach w Lappeenrancie w Finlandii. W ten sposób obezwładniono system zarządzania budynkami, co doprowadziło do tego, że przez prawie tydzień mieszkańcy nie mieli dostępu ani do ogrzewania, ani do ciepłej wody.

Brak dbania o bezpieczeństwo Internetu Rzeczy może mieć poważne konsekwencje dla zdrowia. W 2017 r. Amerykańska Agencja ds. Żywności i Leków poinformowała, że implanty pewnej firmy mogą zostać zhakowane, ponieważ miały błąd oprogramowania w nadajniku wysyłającym dane. Wśród tych produktów były między innymi defibrylatory i rozruszniki serca, czyli urządzenia pozwalające na monitorowanie stanu pacjenta i zapobieganie atakom serca. Wykryte zagrożenie pozwalało na sterowanie implantem: można było zdalnie zmieniać parametry jego pracy. Na szczęście żaden z pacjentów nie został poszkodowany.

W 2017 r. doszło również do zaskakującej kradzieży danych z amerykańskiego kasyna poprzez urządzenia Internetu Rzeczy. Atakujący skupili się na inteligentnym akwarium, które miało sensory podłączone do komputera odpowiadającego za utrzymywanie czystości, odpowiedniej temperatury wody i karmienie ryb. Według raportu firmy Darktrace, która udostępniła te informacje, cyberprzestępcy przesłali w ten sposób 10 GB danych z sieci kasyna gdzieś do Finlandii.

Rosnąca liczba urządzeń Internetu Rzeczy oraz miejsc, w których są wykorzystywane, wpłynie na wzrost częstotliwości ataków. W końcu łupem cyberprzestępców będą mogły stać się naprawdę wartościowe informacje, na przykład te z instytucji publicznych czy korporacji. Oczywiście głównymi celami będą przedsiębiorstwa, z których kradzież danych może oznaczać spore zyski, jednak wcale nie oznacza to, że indywidualni użytkownicy mogą czuć się bezpiecznie. Istniejące słabości mogą zostać łatwo wykorzystane przez crackerów (osoby, które włamują się na cudzy komputer lub do cudzej sieci, wykorzystując do tego luki w zabezpieczeniach – przyp. autora) do tego, aby zmienić komuś plan sprzątania mieszkania, włamać się do elektronicznej niani i wysyłać nieskończoną liczby alertów na temat niebezpieczeństwa dziecka czy powiadomień o dużej ilości zużytej wody. Wspomnieć należy również o systemach inteligentnego oświetlenia. Myślę, że mrugające mieszkanie jak z horroru to doskonały przykład tego, do czego może prowadzić brak troski o cyberbezpieczeństwo używanych urządzeń.

Normy? Standardy? Mgliste zapowiedzi

Zamiast wspólnych standardów mamy do czynienia z wolną amerykanką. Brak jakichkolwiek wymagań względem producentów powoduje, że każdy spośród nich może pójść własną ścieżką bez zwracania uwagi na bezpieczeństwo oferowanego rozwiązania. W końcu na rynku nowych technologii chodzi o jak najszybsze dostarczenie produktu na rynek za jak najmniejsze pieniądze.

Aktualnie brakuje nam jeszcze norm i standardów, czyli, ogólnie rzecz ujmując, odpowiednio wypracowanej struktury tego, jak testy cyberbezpieczeństwa miałyby wyglądać. Pojawianie się dużej liczby nowych urządzeń, kolejnych dostawców, głównie z azjatyckich państw, powoduje sytuację, w której trudno jest znaleźć elastyczny model weryfikowania wszystkich pojawiających się produktów.

Jednocześnie ważne jest, żeby niezależne organizacje dbały o to, aby klienci byli w stanie szybko zweryfikować, czy dany sprzęt spełnia podstawowe wymagania z zakresu cyberbezpieczeństwa. Tu pojawiają się ciekawe informacje na temat tego, jak użytkownicy mogliby być o tym informowani. W dokumencie stworzonym w Kanadzie we współpracy z tamtejszym Ministerstwem Innowacji, Nauki i Przedsiębiorczości możemy zapoznać się z ciekawymi pomysłami na to, jak firmy mogłyby informować o takich cechach produktu. Pierwszy z nich to oznaczenie Internetu Rzeczy z użyciem kartki z opisem poziomu bezpieczeństwa, podobnie jak wygląda to z klasami energetycznymi sprzętu AGD i RTV. Niewątpliwie byłaby to czytelna forma przekazu, mam jednak pewne wątpliwości odnośnie tego, co pozwalałoby stwierdzić, że dany sprzęt spełnia kategorię A, a który C. Obawiam się, że takie podejście wymagałoby zbyt dużo pracy w tak dynamicznym sektorze, jakim obecnie jest Internet Rzeczy.

Druga opcja to proste oznaczenie sprzętu przez jeden symbol. Podobne naklejki kojarzą mi się z nagrodami o Laur Konsumenta lub informacjami o braku barwników, co zupełnie nie pasuje do Internetu Rzeczy. Trzeci wariant to kod QR. Po jego zeskanowaniu klienci mogliby dowiedzieć się więcej na temat cyberbezpieczeństwa urządzenia i po zastanowieniu okazuje się, że się ma to sens. W końcu nasze smartfony posiadają najczęściej wbudowane czytniki QR w aplikacje aparatów, więc ewentualne sprawdzenie nie zajęłoby wiele czasu, zapewniając tym samym sensowne kompendium wiedzy. Jestem ciekaw, czy w dłuższej perspektywie którekolwiek z państw zdecyduje się pójść właśnie tą ścieżką.

Czeka nas wiele dyskusji na ten temat. Obawiam się jedynie, że najpierw będzie musiało dojść do naprawdę poważnego ataku na sprzęt, który doprowadzi do sporych strat, aby luka została uznana za poważny problem. Szczególnie w wypadku lotniska może doprowadzić to do prawdziwego paraliżu, jeżeli ktoś przez pojedynczy sensor byłby w stanie włamać się do centralnego systemu i wpływać na działanie, np. kontroli pasażerów.