Koga briga varnost, kadar so cekini v igri
Marjan Kodelja 3. januarja 2018 ob 06:32

Če naprava ni povezljiva, jo težje prodajo. Torej morajo imeti vse možnost povezave v domače omrežje, prek njega pa imajo odprta vrata v internet. V tej želji biti v toku časa izdelovalci, še manj pa kupci razmišljajo o varnosti. In glej ga zlomka. Skoraj ni pametne naprave, v katero ne bi mogli vdreti. Odpiranje te Pandorine skrinjice pa se nam lahko še kako maščuje!

V tekmi vgrajevanja pameti v vse mogoče (in nemogoče) naprave – ne boste verjeli, nekatere od njih nam celo res naredijo življenje udobnejše – izdelovalci veliko manj naporov vlagajo v varnost, v zaščito podatkov na strežnikih in še veliko manj v zaščito naprave pred vdorom vanjo. Na kavni aparat ne moremo sami namestiti požarnega zidu ali katerega drugega varnostnega programa. Edina linija obrambe je domači usmerjevalnik. Vemo, kako je s tem. Enkrat ga nastavimo, največkrat kar s privzetimi nastavitvami, potem pa se z njim ne ubadamo več. V omrežju pa imamo pametne televizorje, hladilnike, luči, termostate, straniščne školjke, na sebi pametne nosljive naprave, ves dom je opremljen z napravami pametne hiše, zunaj pa je parkirano pametno vozilo. Dobrodošli v svet interneta stvari, o varnosti katerega smo se šele začeli pogovarjati!

Vdrli so že v skoraj vse

Varnostni raziskovalci, imenovani tudi hekerji z belimi klobuki, katerih naloga je preverjanje varnosti, so vdrli že v vse mogoče. Od pametnih ključavnic vhodnih vrat do pametnih straniščnih školjk. Najbolj strašljiv vdor pa je pred časom uspel Charlieju Millerju in Chrisu Valaseku. S prenosnim računalnikom jima je uspelo prevzeti nadzor nad krmilom (volanom) in zavorami pametnega avtomobila.

Večina »hekerjev«, ki jim je uspel vdor v naprave, so varnostni raziskovalci, ne kriminalci. Ni pa težko ugotoviti povezave. Če je njim to uspelo, bi uspelo tudi drugi strani, hekerjem s črnimi klobuki, ki imajo enako znanje in enako, če ne celo boljše orodje. Na srečo so kibernetični kriminalci v svojem poslu zaradi denarja. Tega pa ni, če vdrejo v pametno sijalko, da nam namesto belo sveti rdeče. Vseeno pa moramo varnost interneta stvari začeti resneje upoštevati. Vse več bo teh naprav okoli nas, bolj bomo postali odvisni, hkrati pa bomo puščali vse več z našim življenjem povezanih podatkov na strežnikih v oblaku, zaradi česar bodo tudi kriminalci našli zanimanje za vdore in kraje podatkov.

Uporabnost in biti prvi

Smo na začetku razvoja interneta stvari, zato izdelovalci tekmujejo med seboj, kateri bo z napravo prvi na trgu. Pozorni so na uporabnost naprave, ker oboje daje možnost uspeha, o varnosti razmišljajo pozneje. Če sploh. Naprave tudi težje zaščitijo podjetja, ki ponujajo varnostne rešitve. Ni ene osnove, temveč jih je toliko, kolikor je izdelovalcev, zato ne morejo narediti ene rešitve, ki bi zakrpala odkrito varnostno luknjo v več podobnih napravah. Kakor so navajeni pri varovanju računalnikov s sistemom Windows.

Druga težava je v dolgoživosti naprav interneta stvari. Ročnih ur, gospodinjskih aparatov, avtomobilov ne menjamo pogosto. V času, ko imamo doma isto pečico, večkrat zamenjamo pametni telefon. S pametjo naprave dobivajo vse več programske opreme. Vemo pa, kako je ta občutljiva na napake. Torej bomo tudi te naprave ves čas uporabe prisiljeni nadgrajevati. Dolgoživost je problematična še z enega vidika. Zaradi Moorovega zakona hekerji dobivajo vse zmogljivejše računalnike, v katere vdirajo, zmogljivost na primer pametne pečice pa je ves čas uporabe enaka. Če morda na začetku ne morejo vdreti vanjo, ker bi za to potrebovali več procesorske moči, bodo to dobili. Le potrpežljivi morajo biti.

Zato del varnostnih strokovnjakov ne zre optimistično v prihodnost. Menijo, da bo potrebna večja katastrofa, da se bodo izdelovalci naprav zavedeli, da bi morala biti varnost naprav na prvem mestu. Ne samo naprav. Pametne naprave zbirajo podatke, te pa hranijo na spletnih strežnikih. Lahko bi jih hranile lokalne, vendar je to za uporabnost naprave primernejše. Uporabnik lahko od koder koli pride do svojih podatkov, vendar so ti varovani le z geslom. Podatki na strežnikih največkrat tudi niso šifrirani (večja varnost stane več), zato so na dlani potencialnim uspešnim vdiralcem. Koliko so na primer vredni podatki o zdravstvenem stanju ali o življenjskem slogu uporabnikov, pa vemo.

Del strokovnjakov pa ni tako črnogled. Ti opozarjajo na združevanje podjetij v konzorcije s ciljem medsebojne združljivosti naprav, oblikovanja enakih osnov, enakih standardov ter varovanja naprav in podatkov. Bolj kot ogroženost ene naprave jih skrbi morebitni množični napad nanje. Nekatere naprave imajo enake »ključe« za vstop ali pa sploh niso varovane. Predstavljamo si lahko, kaj bi se zgodilo, če bi v mestu hekerji v istem času vključili vse pametne kotličke za ogrevanje vode. Opozarjajo tudi, da ni pametno preveč zavarovati podatkov. Varnost mora biti takšna, da podatke vidi le njihov lastnik, ponudniku storitev in morebitnim neodvisnim ponudnikom pa mora biti vseeno dovoljen tolikšen dostop do podatkov, da uporabniku lahko pomagajo pri njihovem tolmačenju. Verjetno ne bi naredili veliko, da bi tako zavarovali podatke pametnega merilnika krvnega tlaka, da do njih ne bi mogel priti niti uporabnikov zdravnik. Ponudniki naprav in storitev interneta stvari bodo morali najti ravnotežje. Da so podatki razmeroma dostopni in hkrati dovolj varovani.

Prosti trg ali regulacija?

Izdelovalci se državne regulacije bojijo kot hudič križa in vedno znova poudarjajo, da ta ubija razvoj tehnologij. Resnica ni tako enopomenska. Bi avtomobilska industrija ponudila varnostni pas v osnovni opremi, če je k temu ne bi prisilili? Ali vpoklicali vsa vozila znamke, pri kateri ugotovijo nevarno tehnično pomanjkljivost? Potniška letala tudi ne strmoglavljajo zaradi napake v programski opremi. Izdelovalci leta se morajo držati predpisanih standardov, ki določajo tudi, da mora biti programska oprema v letalu potrjena in izpod peresa različnih dobaviteljev. Programska oprema pametnih naprav pa je lahko polna napak, pa zanje nihče ne odgovarja. Sami izgovori. Kako je prevelika in jo je nemogoče napisati brez napak, da drugače ne bi bila tako zmogljiva, imela toliko funkcij in bila uporabniku prijazna. Programska industrija nas je prepričala, da so napake nekaj popolnoma običajnega, mi pa smo se s tem sprijaznili.

Evropska unija bo prisiljena razmišljati v tej smeri. In zakaj ne? Imamo predpise, kako mora biti videti banana. Kakor da je oblika pomembna. Nimamo pa pravil na področju naprav interneta stvari, ki močno posegajo v življenje uporabnikov. Politiki tehnologij ne razumejo in se radi leta pogovarjajo, preden se odločijo. V tem času pa tehnologija zastari in morebitna pravila in omejitve nimajo več učinka. Ne moremo zaupati izdelovalcem, da so naredili vse, kar je v njihovih močeh, za varnost naprav in podatkov. V reklamne namene lahko zapišejo celo, da je njihova naprava vrhunsko varovana, čeprav ni, saj kazni ni ali pa so premile. Državni predpis pa lahko sledi tehnologijam. Američani so ugotovili, da je problem kraje pametnih telefonov prevelik, in od izdelovalcev zahtevali vgradnjo varovalnega mehanizma (kill swich). In to brez predolgega prehodnega obdobja, ki je običajna praksa pri vsakem evropskem posegu v kar koli.

Kaj bi morala storiti Evropa

Izdelovalcem naprav interneta stvari je treba postaviti pravila in omejitve. Kakšne?

Prvič. Na vseh nacionalnih trgih mora biti predpis enak. Vsak državni predpis vpliva na strošek poslovanja ponudnika, je pa ta manjši, če se prilagodi nekim pravilom, ne pa da se mora na vsakem nacionalnem trgu prilagajati tam veljavnim.

Drugič. Pravila in omejitve ne smejo biti prestrogi, pa tudi preveč v podrobnosti se ne smejo spuščati. Oblikovati morajo okvir, v katerem ponudnik lahko deluje in kako mora na primer varovati različne razrede uporabnikovih podatkov. Upoštevati morajo tudi naravo naprave. Naprave, ki spremljajo stanje bolnikov, ali naprave, ki krmilijo nevarne stroje, morajo prestati stroge varnostne preizkuse.

Tretjič. Nadgrajevanje programske opreme mora biti omogočeno, preprosto in redno. Če izdelovalec odkrite napake v napravi ne odpravi, mora biti ta umaknjena iz prodaje. Določena mora biti življenjska doba izdelka, ta mora biti realna in ves ta čas mora izdelovalec za naprave nuditi podporo.

Še tako dober predpis ni učinkovit, če ni nadzora in sankcij. Slabih primerov iz Evrope imamo veliko. Avtomobilski industriji smo predpisali, da mora jasno kupca obvestiti o porabi in emisiji ogljikovega dioksida. Nakar se je pri nekaterih vozilih izkazalo, da podatki ne držijo. Predpis je sicer dober, nihče pa se do pred kratkim ni potrudil preveriti, ali so oglaševani podatki tudi resnični. Primerjave z avtomobilsko industrijo pa so na mestu. Tako kot morajo vozila prestati varnostni test, v katerem dobijo oceno, če pa ne dosegajo minimalnih standardov, pa ne smejo v prodajo, bi morale test prestati tudi naprave interneta stvari. To bi počela skupina hekerjev belih klobukov, ki bi vdirala v naprave in jim podeljevala ocene glede na njihovo dejansko varnost.

Kaj lahko storimo sami?

Razen tega, da ne kupimo pametnih in povezanih naprav, če jih ne potrebujemo, ne veliko. Težko bo povprečen kupec ocenil, kako varna je naprava, ki mu jo pod nos moli trgovec. Kupujejo naj jih tisti, ki jim vedenje, da lahko vanje vdrejo, ne predstavlja večjega problema. Se tega ne bojijo, ker vsaj malo razumejo, kakšno nevarnost zanje pomeni vdor. Večina vdorov v naprave interneta stvari so posledica eksperimenta in radovednosti hekerja, ki želi izvedeti, ali je vdor mogoč in ali ga je sam sposoben izvesti. Panika ni potrebna, saj večje škode ti vdori ne povzročijo. Splača pa se redno spremljati varnostne afere in odzive izdelovalcev nanje. Izdelki tistih, ki se ne odzovejo, ki ne popravijo napak in ki ne obveščajo svojih uporabnikov, niso dobra nakupna odločitev.

Naprave interneta stvari so razmeroma nove in jih ne uporabljamo v večjem številu. To je dobra stvar, kajti še veliko časa je, da najdemo in odpravimo njihove ranljivosti. So pa naprave vpete v življenje uporabnikov, zbirajo občutljive podatke in lahko škodujejo, ne smemo zanemariti njihove varnosti, države pa tudi ne smejo popolnoma prepustiti trgu, da to reši. Neka stopnja nadzora, postavljanja pravil in omejitev bo prej ali slej potrebna.

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.


 

Avtor Marjan Kodelja
mm
Marjan se s tehnološkim novinarstvom ukvarja od leta 1997 in v tem času je videl že mnogo stvari, ki se nikoli niso uveljavile ali pa so imele kratek čas trajanja. Začel je pri računalniški reviji Moj mikro in ter 2000 postal njen urednik. Veliko kasneje je bil urednik naprej tednika Stop in nato še tednika Vklop, trenutno pa kruh služi s pisanjem tehnoloških člankov.
Marjan Kodelja - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja