A hálózatba kapcsolt szenzorok, eszközök és egyéb műszerek, vagyis az IoT-eszközök az otthonoktól az ipari létesítményekig mindenütt számtalan új lehetőséget nyitottak meg az adatgyűjtésre és beavatkozásra. Az új lehetőségeknek azonban árnyoldalai is vannak, amelyek közül kiemelkedik a biztonság kérdése.
Az IoT-eszközök hírhedtek arról, hogy mennyire nem biztonságosak. Ez nem nemcsak informatikai biztonsági problémákat vet fel, de konkrétan fizikai katasztrófához is vezethet, ha mondjuk egy gyár vagy közmű vezérlőrendszere felett veszik át az irányítást a hackerek.
Az IoT-eszközök alapvetően azért nem biztonságosak, mert nem klasszikus számítógépnek készültek – mondta egy korábbi rendezvényen Csinos Tamás, a Clico Magyarország country managere. Tervezésük során a teljesítményüket és a funkcionalitásukat alárendelték annak, hogy minél kisebb energiafelhasználással és minél hosszabb ideig működjenek. Emiatt a legtöbbször nem implementálnak bennük erős biztonsági funkciókat.
Érdekes módon a fogyasztói felhasználásra szánt eszközök általában biztonságosabbak, mint az ipari-üzleti felhasználásúak. Ennek oka, magyarázta Csinos Tamás, hogy a consumer berendezések sok funkciósak, és rendszerint viszonylag hosszú a fejlesztési ciklusuk, így van idő a biztonsági funkciók kifejlesztésére és beépítésére. Ezzel szemben az ipari rendszereknek többnyire csak egyetlen funkciót, de azt kiemelkedő megbízhatósággal kell ellátniuk. Ezért a működési vagy üzembiztonság mindig is elsőbbséget élvez az informatikai biztonsággal szemben.
A kulcs a kontrollált hozzáférés
Különösen sok gondot tud okozni, ha az IoT- (vagy éppen OT-, operations technology) eszközöket össze kell kapcsolni a meglévő informatikai hálózatokkal. Az IT-rendszereket és – hálózatokat többnyire már ellátták védelmi funkciókkal, elérve egy adott biztonsági szintet. Ezt a szintet súlyosan veszélyezteti, ha ellenőrzés nélkül beengedik az IoT-eszközök felől jövő forgalmat.
„Csak úgy tudjuk megvédeni informatikai rendszereinket az eszközökben rejlő sérülékenységektől, ha az első pillanattól kezdve kézben tartjuk a hálózathoz való hozzáférést”, foglalta össze a teendőket Csinos Tamás. Ennek több lépése van, és egyiket sem szabad elhanyagolni. Először is, minden pillanatban tisztában kell lenni azzal, hogy milyen eszközök csatlakoznak a hálózathoz. Azt hihetnénk, hogy ez alapkövetelmény, de még az IT-biztonságra amúgy odafigyelő cégek sem feltétlenül rendelkeznek naprakész listával. A dolgozók igen találékonyak, és a szakemberek már találkoztak engedély nélkül telepített wifi-hozzáférési ponttal (hogy a kolléga a magántelefonjával is hozzáférjen a céges wifihez) vagy éppen Raspberry Pi mikroszámítógéppel. „A hálózat folyamatos monitorozása kulcskérdés, mert akár percek alatt ki lehet lopni a vállalati adatvagyont”, figyelmeztetett Csinos Tamás.
Csak semmi bizalom!
A második lépésben a hálózaton felderített eszközökre funkció szerinti csoportosításban szabályokat kell hozni. Más besorolás alá esik egy nyomtató, mint a pénzügyi igazgató számítógépe vagy mondjuk egy biztonsági kamera. Ha az informatikusok azonosítottak egy különösen sebezhető, de nélkülözhetetlen eszközt, annak védelmére speciális szabályokat vezethetnek be. Szintén speciális szabályokat kell alkotni az IoT-eszközökre, például egy irodaház épületmenedzsment rendszerét alkotó vezetékes és vezeték nélküli szenzorokra, vezérlőkre vagy a gyártósori PLC-kre.
A harmadik lépésben ezeket a szabályokat rá is kell erőltetni a nevezett eszközökre. Ha valamilyen szempontból nem felel meg a számára megalkotott szabályoknak – mondjuk, nem a legfrissebb szoftver fut rajta, vagy hiányzik valamilyen biztonsági elem –, addig nem, vagy csak korlátozottan férhet hozzá a hálózati erőforrásokhoz. A jó rendszer arra is képes, hogy külső biztonsági eszközöket (tűzfalakat, végpontvédelmi eszközöket) bevonjon a szabályrendszer érvényesítése érdekében.
„Manapság már nem működik a »trust, but verify« hozzáállás, vagyis hogy megbízunk az eszközökben, de ellenőrizzük azokat. Az új jelszó a »zero trust«, vagyis hogy csak azokat az eszközöket, szoftvereket, szolgáltatásokat engedjük be a hálózatunkba, amelyek esetében 100 százalékig meggyőződtünk, hogy úgy működnek, ahogy mi szeretnénk”, tette hozzá Csinos Tamás.
A blogbejegyzés az IT Business cikkének átdolgozott változata.