Na svete je trojnásobne viac aktívnych zariadení pripojených do internetu ako ľudí. Internet vecí je dnes najväčšia digitálna infraštruktúra.

Zároveň sa predpokladá, že počet IoT zariadení sa v horizonte piatich rokov zdvojnásobí. Najdôležitejšie nie je samotné číslo, ale jeho dôsledok.

Neďaleko nás

V marci zaznamenali výskumníci spoločnosti Check Point Software Technologies výrazný nárast pokusov o prístup k IP kamerám na Blízkom východe. Hackeri pomocou VPN a prenajatých serverov systematicky prehľadávali internet, aby našli zraniteľné kamery a pokúsili sa do nich preniknúť. Útoky potom smerovali na zraniteľnosti v systémoch a aj na kamery, ktoré mali predvolené heslá a boli verejne dostupné z internetu.

“Kompromitované IP kamery môžu poskytovať cenné spravodajské informácie,” vysvetľuje Tomáš Vobruba, vedúci bezpečnostný́ inžinier Check Point. Prístup k online videozáznamu umožňuje sledovať ciele, overiť ich polohu a vyhodnotiť škody po raketových útokoch.

Exponenciálny nárast

Súčasné 5G sietí sa stále rozširujú a umožňujú tak pripojenie obrovského zariadení. Vo výrobe, logistike a energetike sa masívne nasadzujú senzory, domácnosti chcú byť smart a čoraz viac domácich spotrebičov, hodiniek a zdravotných senzorov je štandardne vybavených Wi-Fi alebo Bluetooth konektivitou.

V súčasnom nepokojnom svete sa útočníci čoraz viac zameriavajú na kritickú infraštruktúru a priemyselné systémy čelia bezprecedentným rizikám.

Počet ransomvérových útokov vzrástol minulý rok v medziročnom porovnaní o 64 percent. Kyberbezpečnostná správa spoločnosti Dragos uvádza 26 špecializovaných zločineckých skupín zameraných na prevádzkové technológie, pričom za rok sa ich počet viac ako zdvojnásobil.

Veľmi bolestivé miesto

Bezpečnosť IoT zariadení výrazne trápi profesionálov kybernetickej bezpečnosti. V praxi často predstavujú slabý článok celej infraštruktúry.

Mnohé z nich sú navrhnuté s ohľadom na jedinú vec – vykonávať svoju funkciu prakticky nepretržite a byť čo najviac dostupné. V takýchto prípadoch bezpečnosť často ustupuje do úzadia. 

Ondrej Krajč, kyberbezpečnostný architekt spoločnosti ESET, upozorňuje najmä na to, že veľa starších zariadení je z princípu slabo chránených. Výrobcovia IoT zariadení namiesto aktualizácií staršieho softvéru, radšej investujú čas a peniaze do vývoja nových produktov. Mnoho zariadení tak nedostane ani bezpečnostnú záplatu na známu hrozbu, čo spôsobuje že zostávajú nechránené.

Vieme, kde je problém

Bezpečnostné riešenia v IoT sieti sa nedajú nasadiť priamo, ako je tomu na počítačoch či mobilných zariadeniach. Častokrát neexistujú dostatočné možnosti správy zariadení, pravidelné aktualizácie ani natívne bezpečnostné funkcie.

Z pohľadu organizácie tak IoT infraštruktúra skôr rozširuje množstvo vektorov útoku, než aby bola oporou kybernetickej bezpečnosti.

Je to vážne

Varovanie prichádza aj Národného centra kybernetickej bezpečnosti slovami riaditeľa

Jaroslava Ďurovku: “Kybernetické útoky na energetiku a IoT v Európe rastú a ohrozujú kritickú infraštruktúru.” Prípady nielen z Európy ukazujú snahy o sabotáž bez požiadaviek na výkupné.

Slabé zabezpečenie starších priemyselných systémov, ich online dostupnosť a dlhá životnosť zvyšujú riziko. Útočníci využívajú zraniteľnosti, sieťovú komunikáciu aj dodávateľské reťazce. Ochrana si vyžaduje lepšie zabezpečenie a izoláciu systémov.

Občianska téma

Či sme si toho vedomí, alebo nie, IoT bezpečnosť sa nás týka už dávno a od januára 2027 ešte viac. Definitívne bude na Slovensku platiť povinnosť aby merače tepla, vodomery na teplú vodu a pomerové rozdeľovače tepla v bytových domoch umožňovali diaľkový odpočet spotreby.

Energetická efektívnosť je chvályhodný cieľ, ale zavedenie diaľkových odpočtov prináša aj ďalší rozmer – zariadenia sa stávajú súčasťou kritickej infraštruktúry.

„Samotní koncoví odberatelia nemôžu do určeného meradla zasahovať, takže zodpovednosť za bezpečnosť je na strane prevádzkovateľa,“ upozorňuje kyberbezpečnostný architekt Marián Trizuliak zo spoločnosti Západoslovenská distribučná. Prevádzkovateľ musí samotné meradlá, komunikačnú sieť, protokoly a zberové centrály zabezpečiť tak, aby bola bezpečnosť nielen dnes, ale aj o niekoľko rokov adekvátna rizikám.

Overený štandard

V záujme každého prevádzkovateľa je mať meradlo, ktoré spoľahlivo a presne vykoná odpočet veličín. Meradlá majú dvoj a viac ročný životný cyklus, či už ide o výmenu alebo ciachovanie a tomu je potrebné prispôsobiť aj bezpečnostné opatrenia.

Marián Trizuliak tu opakuje overenú radu, že ak existuje overený štandard dizajnu alebo bezpečnosti, netreba vymýšľať teplú vodu, treba ho použiť. A rovnako aj v tomto prípade sa lacné riešenie postupom času ukáže ako nepostačujúce.

Najdôležitejšie opatrenia v IoT bezpečnosti sa dajú zhrnúť do troch bodov. Patrí sem použitie šifrovaných komunikačných protokolov, komunikácia cez neverejné siete a opakované aplikovanie záplat.

Pohľad pentesterov

Zariadenia sú dnes smart, no ich ochrana zostáva často v minulom storočí. Výrobcovia tlačia cenu dole a bezpečnosť býva prvá oblasť, kde sa šetrí. Výsledkom sú technológie, ktoré sa stávajú tichými vstupnými bodmi do siete. „IoT zariadenia aj infraštruktúru testujeme v reálnych útočných scenároch, aby organizácie presne vedeli, kde ležia ich skutočné riziká,“ hovorí penetračný tester Denis Ivan zo spoločnosti Citadelo.

Navyše, regulácie a rastúce nároky na ofenzívnu bezpečnosť zvyšujú dopyt po hĺbkových testoch. Trend sa posúva od jednorazových penetračných testov ku kontinuálnemu testovaniu celého ekosystému.

Hoci automatizácia zvýšila rýchlosť a rozšírila rozsah testovania, skutočné biznisové riziko dokáže stále odhaliť až skúsený odborník.

Náročný rok

„Princíp Zero Trust v IoT bezpečnosti znamená, že žiadne zariadenie nie je automaticky dôveryhodné,“ zhŕňa trend Tomáš Vobruba. V praxi to znamená, že každé IoT zariadenie musí byť rozpoznané, komunikuje iba s tým, čo nevyhnutne potrebuje a kontinuálne sa overuje jeho správanie. Bezpečnostné pravidlá sa generujú automaticky podľa správania IoT zariadenia, nie plošne

Aj v tejto oblasti môžu byť pomocníkom pre organizácie pokročilé riešenia detekcie a reakcie, ktoré dokážu z rôznych vrstiev infraštruktúry zachytiť anomálie a znížiť riziko kompromitácie.“Pokiaľ má firma dobrý prehľad o pripojených zariadeniach, vhodne ich segmentuje a priebežne monitoruje ich komunikáciu, dokáže riziko výrazne znížiť,” uzatvára Ondrej Krajč odporúčania z kybernetickej bezpečnosti.