Már akkor komolyan foglalkoztatták az IT-biztonsági szakmát IoT (Internet of Things) kockázatai, amikor még jobbára egymástól elszigetelt megoldások voltak. Mikko Hypponen, az F-Secure neves kutatója, például a 2013-as Hacktivityan arról beszélt, hogy akár a hálózatba kapcsolt háztartási eszközök is a iberbűnözők értékes erőforrásaivá válhatnak.

Univerzális megoldást azonban egyelőre nem sikerült találni ezeknek a kockázatoknak a kivédésére. Már csak amiatt sem, mert maga az IoT annyira szerteágazó, a szabványosítási folyamat annyira az elején tart, hogy szinte csak egyedi esetek vannak. Pedig biztonsági téren is sürgősen lépni kell, mert például az autógyártók egyre több vezetést támogató képességgel hozzák ki az autóikat, és az önvezető gépjárművek szériagyártásához is egyre közelebb kerültünk. Azt pedig már számtalan kísérlet bizonyította, hogy ezek a rendszerek igencsak sebezhetőek.
 

Addig elsősorban az az IT egyszerűsítésére (mármint az üzleti oldal szempontjából) és korszerűsítésére, valamint a biztonság szintjének javítására kellett figyelniük. A "digitális átalakulás" fogalmának megjelenésével a CIO-k feladatává vált az ügyfélszerzés- és megtartás támogatása, a termékinnováció – természetesen az ügyféligények maximális figyelembe vételével. (A CIO-szerepek ilyen irányú változásáról beszélt lapunknak Thomas Saueressig, az SAP globális CIO-ja is.)

Egy fenékkel két lovat?

Az amerikai CIO Magazine legfrissebb CIO-kutatása szerint ez a kettősség, hogy be kell tölteni a hagyományos IT-vezetői szerepet és az üzleti innovátor szerepet, igencsak komoly kihívás elé állítja a CIO-kat. Kicsit olyan ez – fogalmaznak a kutatás készítői –, mintha két külön pozícióban dolgoznának párhuzamosan. Nem véletlen, hogy a válaszadók elsöprő többsége (87 százalék) azt nyilatkozta, hogy a CIO szerep nehezebb terheket ró rá, mint korábban bármikor. Ennek az esetek többségében épp a fenti kettősség az oka: a válaszadók 72 százaléka ugyanis azt állította, hogy komoly kihívásként éli meg az egyensúly megtalálását a hatékony működés és az üzleti innováció biztosítása között.

A Kaspersky Lab a gyökerénél próbálja kezelni a problémát: olyan, beágyazott rendszerekhez fejlesztett operációs rendszerrel csökkentené a támadási felületeket, amely kizárólag olyan alkalmazások, parancsok futtatását teszi lehetővé, melyek megfelelnek a legszigorúbb biztonsági követelményeknek.

Az általánosan OS-funkcionalitással nem fér össze

Kasperskyék koncepciójának egyik alapvetése, hogy ha valaki Kaspersky OS-hez fejleszt szoftvert, akkor nagyon szigorú biztonsági előírásokat kell követnie, amelyek meghatározzák az elérhető funkciókat és az azokhoz történő hozzáférési kontrollokat. Praktikusan kizárja a nem dokumentált funkciók használatát. Az ilyen funkciók teljes körű tiltása egy általános operációs rendszerben közel lehetetlen. A Kasperky Lab éppen ezért egy fokkal szerényebb, de továbbra sem egyszerű célt fogalmazott meg: a beágyazott rendszerekhez fejlesztette OS-ét.

Mivel csak a biztonsági előírásoknak mindenben megfelelő parancsokat lehet végrehajtani az új OS alatt, ezért az jól kontrollálható. Ennek a megközelítésnek az átültetése egy operációs rendszerbe azonban időigényesnek bizonyult. Tavaly november közepén Eugene Kaspersky saját blogján a kezdeteke 14 évvel korábbra tette, de a tényleges fejlesztés 2012 táján kezdődött. A cégvezér annak kapcsán adott közre információkat az operációs rendszerről, hogy elkészültek az orosz Kraftway nevű cég első layer 3-as switchei, melyekben már a Kaspersky OS fut. Abból derült ki például, hogy bizonyos keretek között testre szabható, hogy jobban illeszkedhessen a felhasználói, iparági és jogszabályi követelményekhez.

Ezek a legfontosabb alapelvek

A fejlesztés egyik alapelve volt, hogy nem lehet benne felhasználni meglévő kódokat – így például eleve kiesett az, hogy valamiféle lecsupaszított, és a célra átformált Linuxból induljanak ki, és a teljes OS-t a nulláról írták meg.

Ahhoz, hogy garantálni tudja a biztonságot, a kernel, amely a többi modult is vezérli, nem tartalmazhat semmiféle hibát vagy biztonsági rést. Ezért 100 százalékos biztonsággal kell azt ellenőrizni, hogy nincsenek benne kettős célú kódok.

Ugyanezért kell a kernelt a legminimalistább módon megvalósítani. A mag által kontrollált kiegészítő funkciók, driverek csak alacsony szintű hozzáférési joggal futhatnak.

Az OS-t a Kaspersky Lab minden esetben testre szabva szállítja, árazása is aszerint alakul, hogy ez mekkora munkával jár. Az operációs rendszer OEM (Original Equipment Manufacturer) és ODM (Original Design Manufacturer) gyártókon, valamint rendszerintegrátorokon keresztül kerül az ügyfelekhez, és mint azt Kaspersky blogján írják, például SCADA rendszereket és IoT megoldások védelméhez hasznosítható. A terméket egyébként többek között távközlési, autóipari és egyéb gyártóvállalatoknak ajánlják. Lesz egy speciális pénzügyi változata is.

(Foto: Eugene.kaspersky.com)