Minden korábbinál kényelmesebb világot ígér a dolgok internetének elterjedése. A szenzorokkal, intelligens fedélzeti rendszerekkel felszerelt okos autónk elkerüli a dugókat, megóv minket a balesetektől, automatikusan beparkol helyettünk. Hűtőgépünk megrendeli a fogyóban lévő élelmiszereket, fitneszkarkötőnk segít megőrizni egészségünket, az edények recepteket ajánlanak, a termosztát optimalizálja az energiafogyasztásunkat, az ip-kamerák révén biztonságban tudhatjuk lakásunkat, okos otthonunk lesi minden kívánságunkat, televíziónk pedig már nemcsak a rengeteg csatornát kínálja nekünk, hanem az internetezés, az igény szerinti videózás és a videochatelés lehetőségét is. A szórakoztató elektronikai eszközök intelligens, az internetre kapcsolódó modulokkal bővülnek ki, a világháló immár nem csak a számítógépek terepe, sok más eszközzel is kihasználhatók a benne rejlő, egyre bővülő lehetőségek.
Elmaradó frissítések
Mindez nagyon jól hangzik, és sok előnyét is élvezzük már az intelligens eszközök használatának, azonban az internetre kapcsolódó, nem számítógép kategóriájú berendezések számának elképesztő mértékű növekedése óriási kockázatokkal jár, mivel komoly biztonsági hiányosságok tapasztalhatók náluk. Közös hálózatban működnek más eszközökkel, így feltörésükkel hozzáférés szerezhető a bizalmas információkat tároló számítógépekhez és vállalati rendszerekhez.
Ráadásul a dolgok internetének eszközeit gyártóik szórakoztató elektronikai vagy háztartási berendezésként kezelik, nem pedig az internetre csatlakozó, s ily módon sebezhető rendszerként, ezért egyáltalán nem foglalkoznak azzal, hogy ezek szoftverét miképpen lehetne frissíteni. Márpedig nem létezik hibátlan kód, és ha a hackerek felfedeznek egy sérülékenységet egy sokak által használt berendezésben, ez a biztonsági rés nagy valószínűséggel az eszköz teljes használati ideje alatt kihasználható lesz. Mivel nem adnak ki hozzá frissítést, a javítás megfelelő csatorna híján nem jut el az érintettekhez, vagy nem létezik olyan módszer, amellyel a frissítés a felhasználó által egyszerűen elvégezhető lenne – ellentétben a számítógépekkel, amelyeket automatikus frissítéssel vagy egy szoftverfolt telepítésével bárki naprakész állapotban tarthat.
Ráadásul a fogyasztók nem akarnak firmware frissítésekkel bajlódni és a veszélyek miatt aggodalmaskodni, egyszerűen élvezni szeretnék az intelligens eszközeik által nyújtott szolgáltatásokat. Gondoljunk csak az évek óta szinte minden háztartásban, kávézóban, irodában megtalálható hálózati routerekre, amelyek esetében számos sérülékenységre derül fény, mégis szinte senkinek sem jut eszébe a frissítésük, a legtöbb felhasználó még a gyári azonosítót és jelszót sem változtatja meg.
Ismétlődő történelem
A dolgok internetének eszközei esetében a helyzet a ’90-es évek informatikai világához hasonlítható, amikor senki sem foglalkozott a biztonsággal, a szoftverek frissítésével. Pedig az intelligens elektronikai berendezések ugyanúgy számtalan ismert és eddig ismeretlen sebezhetőséget tartalmaznak, biztonsági konferenciák egyik kedvelt témája annak bemutatása, hogy ezek kihasználásával miképpen lehet ellenőrzést szerezni teljes hálózatok felett. Biztosra vehető, hogy a kiberbűnözők figyelmét egyre inkább felkeltik a könnyű prédának számító és egyáltalán nem frissíthető okoseszközök, s más, nem kielégítő védelemmel rendelkező berendezések, érzékelők, vezérlőelemek. Annál is inkább, mert ezek jó része rendkívül olcsó, tömeges méretekben alkalmazott eszköz, amelyekhez – a jóval drágább számítógépektől eltérően – nincs támogatás, és biztonságukkal senki sem törődik. Ráadásul egyes esetekben a biztonsági hiányosságok nem csupán anyagi károkat eredményezhetnek, hanem emberi életeket is veszélybe sodorhatnak, például az orvosi implantátumok esetleges meghackelésekor.
Ezek a gyenge láncszemek kiváló belépési pontot kínálnak a hackereknek a védett vállalati hálózatokba. Emlékezzünk csak az amerikai Target áruházlánc 70 millió vásárlót érintő adatlopási incidensére, melynek során a kiberbűnözők a fizetési terminálok feltörésével hatoltak be a vállalat informatikai rendszerébe. A számítógépek és a mobileszközök esetében a vállalatok BYOD-előírásokkal és biztonsági óvintézkedésekkel védhetik meg magukat az alkalmazottak saját laptopjainak, tableteinek és okostelefonjainak használatából eredő veszélyektől. De például az irodaépületekben energiatakarékossági okokból kiépített szabályozórendszerek termosztátjai által okozott kockázatok ellen nem véd a BYOD. Ezek kigyomlálása a vállalati informatikai infrastruktúrából ugyanis szóba sem jöhet, mivel jelentős költségcsökkentést eredményez az alkalmazásuk.
Mi történik a begyűjtött adatokkal?
Speciális jellemzője az IoT-nek az internetre csatlakozó eszközök által összegyűjtött hatalmas adattömeg kezelésének módja, ami újabb biztonsági aggályokat vet fel. A hagyományos rendszerekben az adatokat erre specializált alkalmazások dolgozzák fel és tárolják, míg az IoT sajátossága az információk megosztása, elemzése az üzleti és egyéb folyamatokba való alaposabb betekintés, a rejtett összefüggések megismerése érdekében. Azonban ezeknek az adatoknak nincs jól körülírható tárolási helye, az őket feldolgozó alkalmazások sem mindig tudják, hogy honnan származnak.
Az eszközöket használók számára pedig egyáltalán nem világos, hogy ki juthat hozzá a velük kapcsolatban begyűjtött információkhoz, amelyek között rengeteg a személyes jellegű, gondoljunk csak az orvosi és fitneszeszközök által regisztrált adatokra, vagy a legtöbb mobilapp által buzgón gyűjtött GPS-koordinátákra. Sokan már meg sem lepődnek azon, ha egy, az okostelefonjukra letöltött zseblámpa-alkalmazás közli, hogy működéséhez feltétlenül szüksége van a felhasználó tartózkodási helyére, s ha ezt nem engedélyezzük, visszautasítja a telepítést. Nyilvánvaló, hogy az ingyenes app fejlesztői a begyűjtött adatok eladásából tesznek szert bevételre.
Általánosságban elmondható, hogy sok IoT-alkalmazás részben nem a használója nevében és érdekében tevékenykedik, hanem egyfajta automatikus szoftverkliensként szipkázza fel az adatokat egy ismeretlen megbízó nevében. Az egész konstrukció erősen emlékeztet a hackercsoportok kémkedési kampányaira, azzal a jelentős különbséggel, hogy itt a felhasználók beleegyezésével (az el nem olvasott használati feltételekre való kattintással) zajlik a művelet.
Intézkedés elhalasztva
Jogosan merül fel a kérdés, hogy ezeknek az adatoknak ki a tulajdonosa, ki felügyelheti azok feldolgozását, megosztását? Miért nem juthatnak hozzá a felhasználók a rájuk vonatkozó összes információhoz, nem pedig csak azok egy részéhez, mit kezdenek a begyűjtött adatokkal az eszközök gyártói, kinek értékesítik tovább azokat? Hogyan lehetséges az, hogy a nyilvánvalóan a felhasználók tulajdonát képező adatokkal ilyen szabadon és következmények nélkül kereskedhetnek?
Sajnálatos módon csakúgy, mint az IoT-eszközök biztonságával, ezekkel az adatvédelmi kérdésekkel sem foglalkozik szinte senki, mivel a felhasználókat lenyűgözik az okoseszközök által kínált újabb és újabb kényelmi szolgáltatások, szórakoztató funkciók, és egyáltalán nem gondolnak arra, hogy mire használják a róluk összegereblyézett irdatlan mennyiségű információt. Mindenesetre az agresszív és mindenre kiterjedő információgyűjtéssel kapcsolatosan felmerülő kérdések és aggályok előbb-utóbb az adatvédelmi szabályozások teljes átgondolását igénylik az illetékesek részéről.
Mivel a dolgok internete megállíthatatlanul terjed, a biztonság semmibe vétele minden bizonnyal komoly problémákat fog okozni a közeli jövőben. Egyes szakértők úgy vélik, csak akkor történnek majd jelentősebb erőfeszítések az IoT-eszközök védelmének javítására, ha bekövetkezik egy világméretű katasztrófa. Mások szerint az okos berendezések és járművek szoftverhibái miatt bekövetkező balesetek számának növekedése veri majd ki a biztosítékot, és lassítja le úgy az IoT terjedését, hogy kiépülhessenek a megfelelő védelmet nyújtó funkciók. Jelenleg azonban az üzleti előnyök elhomályosítják a biztonsági aggályokat, s egyelőre sem a biztonsági cégek figyelmeztetéseinek, sem a szaksajtóban megjelenő cikkeknek nincs különösebb foganatja. Úgy tűnik tehát, hogy tovább fog romlani a helyzet, mielőtt javulás következne be.
