Poniższy tekst jest rozwinięciem komentarza ze slajdu 63 umieszczonego w raporcie Bezpieczna elektryczność.
Jeszcze 10 lat temu pojęcie cyberbezpieczeństwa dla urządzeń elektronicznych wchodzących w skład instalacji elektrycznych praktycznie nie istniało w świadomości producentów, instalatorów i użytkowników. Podstawowym zmartwieniem tych ostatnich pozostawały ataki mające na celu nieautoryzowany dostęp do urządzenia, które dla przykładu, mógł skutkować możliwością otwierania bramy garażowej lub manipulacją w proces technologiczny — jeśli mowa o automatyce przemysłowej. Już wtedy dość intuicyjna dla instalatorów i użytkowników była konieczność ochrony urządzeń i okablowania przed bezpośrednim, fizycznym dostępem osób trzecich. W przypadku automatyki domowej również popularne na tamten czas były rozwiązania bezprzewodowe w zakresie nielicencjonowanych oraz licencjonowanych pasm radiowych — te drugie były często przedstawiane jako bezpieczniejsze, jednak wynikało to zaciemniania szczegółów implementacyjnych oraz mniejszej dostępności rozwiązań ze względu na narzuconą wysoką cenę. Obecnie wielu producentów kontynuuje sprzedaż rozwiązań, bazując na już przestarzałych technologiach komunikacji ze względu na niską cenę wytworzenia urządzenia, często zastępując rozwój bezpieczeństwa takiego systemu, jedynie kampaniami marketingowymi.
Wykres z raportu Bezpieczna Elektryczność
W ostatnich latach mogliśmy przekonać się, jak bardzo prawdziwe jest stwierdzenie, że cyberbezpieczeństwo jest procesem. Nieustanne taniejąca moc obliczeniowa, w naturalny sposób stwarza możliwości rozwoju coraz to doskonalszych, bardziej zautomatyzowanych urządzeń i programów pozwalających na przełamywanie zabezpieczeń bez konieczności zgłębienia tajników zastosowanych rozwiązań ani długotrwałego szkolenia. Szeroko dostępne stały się urządzenia niewiele większe od pudełka zapałek, które pozwalają w kilka sekund skopiować sygnał wspomnianej wyżej bramy, czy też zmienić nastawy termostatu korzystającego z protokołów komunikacji opracowanych dekady temu.
Wprowadzenie funkcjonalności dostępu zdalnego i szerokiej komunikacji pomiędzy urządzeniami — stąd określenie IoT - zarówno jeśli chodzi o możliwość sterowania, jak i zdalną diagnostykę, a co za tym idzie, podłączenie urządzeń do sieci publicznej wymusiło użycie zupełnie innych protokołów. Znane były one wcześniej np. w domowych sieciach komputerowych podłączonych do Internetu, rozwijane były na przestrzeni lat niezależnie od automatyki, z pełnym wsparciem stale rosnących możliwości obliczeniowych komputerów i telefonów użytkowników końcowych. Efektem tego jest traktowanie sterownika do bramy, oświetlenia, falownika w fabryce etc., w sieci na równi z komputerami, czy telefonami, jednakże — ze względu na utrzymanie ceny takiego urządzenia na racjonalnym poziomie — posiadającego dużo mniejszą mocą obliczeniową dostępna do realizacji protokołów sieciowych, którym te urządzenia muszą sprostać. Producenci urządzeń IoT stanęli przed wyzwaniem podjęcia decyzji, w którym punkcie trójkąta cena-funkcjonalność-cyberbezpieczeństwo ustawić swoje urządzenia. Dodatkowo jako że cyberbezpieczeństwo nie jest czymś, co raz zapakowane w pudełko z urządzeniem, będzie działać do końca jego gwarancji, kolejnym wyzwaniem jest edukacja instalatorów oraz użytkowników końcowych, chociażby w takich najprostszych kwestiach jak ustawienie poprawnych zabezpieczeń sieci WiFi, niestosowanie domyślnych haseł w panelach administracyjnych, czy cykliczne wykonywanie aktualizacji, ale też tych bardziej zaawansowanych jak monitoring na żywo ruchu sieciowego, czy prowadzenie cyklicznych audytów bezpieczeństwa w rozwiązaniach dla przemysłu.
Wykres z raportu Bezpieczna Elektryczność
W świetle rosnącej popularności rozwiązań IoT w instalacjach elektrycznych, w wynikach przeprowadzonej ankiety najmocniej w uderza ogromny odsetek producentów wykazujących brak zainteresowania edukowaniem użytkowników o cyberbezpieczeństwie w przeciwieństwie do prawie połowy ankietowanych konsumentów i instalatorów, którzy chcą w tym procesie uczestniczyć. Według obecnego stanu wiedzy o IoT idealnym rozwiązaniem byłaby ścisła współpraca między producentami i instalatorami w celu podnoszenia świadomości konsumentów o zagrożeniach i motywowania ich do aktywnego zapobiegania im za pomocą narzędzi dostarczonych przez tych pierwszych. Jeśli jednak producent celowo nie prowadzi takich kampanii, być może widzi w takim przepływie informacji potencjalne zagrożenie dla popularności swojego produktu i — choć to nie jest pewne — za kurtyną idealnego, lecz błędnego, wyobrażenia o świecie, do którego trafia produkt, prowadzi niejawne działania nad poprawą bezpieczeństwa. Niestety mimo to nie osiągnie on dobrych wyników bez procesów edukacji. Zdecydowanie najgorszym jest przypadek, który w ankiecie wystąpił najczęściej, tj. brak jakiejkolwiek refleksji nad potrzebą informowania konsumentów o cyberbezpieczeństwie — można z tego wywnioskować brak wiedzy i podjętych działań przez tego producenta w kontekście cyberbezpieczeństwa w ogóle. Otwartym pytaniem pozostaje, czy, 40-parę procent konsumentów i instalatorów, według wyników ankiety, podejmując swoje decyzje zakupowe oraz udzielając gwarancji na wykonane instalacje, wymusi z czasem na producentach współpracę w procesie cyberbezpieczeństwa lub wyeliminuje w rynku graczy bez odpowiedniej wiedzy i działań, czy — jako społeczność — będziemy zdani na odgórne regulacje wypracowane przez organy nadzoru, które zapewne się pojawią, jednakże w momencie wejścia w życie mogą być już nieaktualne lub niewystarczające w stosunku do przyszłych wyzwań cyberbezpieczeństwa.
Autor: Marcin Purzycki
CTO
BleBox sp. z o.o.
Komentarze (0)