Liczba zainstalowanych urządzeń IoT rośnie lawinowo, są akceptowane zarówno wśród użytkowników indywidualnych, jak i w przedsiębiorstwach i instytucjach. Urządzenia smart są wręcz modne, trzeba jednak mieć świadomość, że z punktu widzenia bezpieczeństwa mogą być „zatrutym owocem”.
Po pierwsze jednostki IoT zazwyczaj nie wyglądają jak komputer, mimo że mają wbudowany moduł sterujący i komunikacyjny, który takim komputerem jest. Posiada on system operacyjny oraz oprogramowanie funkcjonalne, w którym tkwią rozmaite podatności.
Po drugie ich producenci skupiają się przede wszystkim na obszarze praktycznym, czyli na tym, aby zaoferować użytkownikowi ciekawe i pożyteczne funkcje, a bezpieczeństwo aplikacji i systemu schodzi na dalszy plan. Dodatkowo aktualizacje, nawet jeśli się pojawiają, nie są aplikowane.
Urządzenia IoT mogą się pojawiać w sieciach firmowych (głównie bezprzewodowych) bez świadomości osób odpowiedzialnych za zarządzanie nimi i ich zabezpieczenie. Przynoszą ze sobą podatności, które wcześniej czy później zostaną wykorzystane przez cyberprzestępców.
Czy możliwe jest skuteczne zabezpieczenie przed atakami i nadużyciami, których katalog jest bardzo szeroki? Tak, ale wymaga to odejścia od dawnego paradygmatu bezpieczeństwa, polegającego na traktowaniu urządzeń w sieci wewnętrznej jako zaufanych. Takie podejście musi zostać zastąpione postawą „zero zaufania”.
Mam na myśli rozwiązania tworzone z uwzględnieniem wymagań ZTNA (Zero Trust Network Access). Czyli podejścia, które pozwala na identyfikację wszystkich urządzeń podłączonych do sieci — zewnętrznych i wewnętrznych, przypisanie im (stosownie do zaleceń polityki bezpieczeństwa) odpowiednich poziomów zaufania oraz wymuszenie wynikających z tych poziomów zaufania obszarów dostępu. To nie tylko kwestia zastosowania gotowych produktów zabezpieczających, ale przede wszystkim projektowanie i budowanie sieci w architekturze stworzonej z uwzględnieniem współczesnych wymagań w zakresie bezpieczeństwa.
Urządzenia typu IoT, jako obarczone wyższym poziomem ryzyka i słabiej zarządzane przez dział IT, powinny trafiać do osobnych, dedykowanych dla nich segmentów sieci wirtualnych o minimalnym poziomie zaufania. Dzięki takiej segmentacji możliwa będzie kontrola generowanego przez te urządzania ruchu sieciowego i analiza potencjalnych zagrożeń. W kolejnym kroku rekomenduję rozważyć wdrożenie rozwiązań typu NDR (Network Detection & Response), dzięki czemu będzie możliwe istotne polepszenie wykrywalności ewentualnych ataków.
Rozwiązania IoT są bardzo przydatne, należy jednak pamiętać, że z punktu widzenia bezpieczeństwa wymagają szczególnej troski, świadomości i właściwego podejścia.
Autor: Jerzy Trzepla, Dyrektor Działu Produktów Bezpieczeństwa w Exclusive Networks Poland S.A.
Komentarz został opublikowany w Raporcie TOP 200 Computerworld 2023