Az Internet of Things, pontosabban a közeget alkotó eszközök áldásos tevékenységük mellett több új és néhány jól ismert régi veszélyt hoztak magukkal. A legújabb támadási formák egyértelműen bebizonyították, hogy a gépek kibervédelmét komolyan kell venni. A dolgok internete nem csupán megtámadható célpontokat jelent, hanem akár elosztott fegyverként is felhasználható.

Mindinkább felismerik ezt a kiberbűnözők is: 2010 és 2015 között ugrásszerűen, 2400 százalékkal (!) nőtt az IoT-t valamilyen szempontból érintő támadások száma. Ugyanezen időszak alatt duplázódott a csatlakozott eszközök mennyisége, ez a trend ráadásul továbbra sem csitul. Az évtized közepére már több mint 15 milliárd IoT készülék lógott a hálózatokon, számuk 2020 végére meg fogja haladni a 30 milliárdot. Az igazi felfutás azonban csak ezután következik; 2025-re több mint tízszer annyi eszköz csatlakozik majd az internetre, mint ahány ember a Földön él.

Állami szintű beavatkozást sürgettek

Nem csoda, hogy az USA-ban már tavaly felmerült a döntéshozó szervek beavatkozásának szükségessége. A washingtoni Critical Infrastructure Technology kutatói decemberben állami szintű beavatkozást sürgettek az IoT eszközök fejlesztését illetően. Elismerték, hogy a szabályozás megnehezítheti az IoT innováció kiteljesedését, de az ebből származó kockázatot sokszorosan felülmúlják a reguláció pozitív, biztonságot fokozó hatásai.

A kutatók tisztában vannak azzal, hogy az IoT eszközök amerikai szabályozása hatással lesz a terület globális trendjeire és gazdaságára, mivel a dolgok internetében érdekelt felek jelentős része vagy az Egyesült Államokban tevékenykedik, vagy közvetlenül amerikai gyártókkal áll kapcsolatban, vagy az amerikai gazdasági döntésektől függ. Ezért várnak megkönnyebbülést a szabályozástól, hiszen az amerikai infrastruktúrára Kína jelenti az egyik legnagyobb veszélyt a külföldi fejlesztésű IoT eszközök mögött álló országok közül. 2020-ra jövendölt 50 milliárd IoT eszköz közel mindegyike „ellenséges” országokban kerül fejlesztésre és/vagy gyártásra, kongatták meg a vészharangot a kutatók.

Isten malmai lassan őrölnek, de úgy tűnik, az amerikai honatyák végül észbe kaptak. Szenátori szintű szabályozás van készülőben az IoT kapcsán: várhatóan ezen a héten mutatkozik be az a törvénytervezet, ami ki akarja kényszeríteni az eszközök biztonságosságának magasabb szintre emelését. Többek között olyan kérdéseket rendeznek benne, mint a készülékek patch-elhetősége és az ipari biztonsági szabványoknak való megfelelőség.
 

A probléma súlyát jelzi, hogy a demokrata (Mark Warner és Ron Wyden szenátorok révén) és a republikánus (Steve Daines és Cory Gardner szenátorok közreműködésével) oldalról is támogatásra lelt a téma. Ugyanakkor arról szó sincs, hogy véres fejszével vágnának rendet a gyártók termékei között; amint azt Warner megjegyezte a Reuters-nek, a lehető legkisebb hatást próbálják gyakorolni a szegmensre. Ez itthoni szemmel talán meglepő lehet, de a szabad piac egyik elkötelezett támogatójának számító USA-ban még hisznek abban, hogy az államnak minimális mértékben kell csupán beavatkoznia.

„Nyilvánvaló piaci hibák”

Warner rávilágított: aprólékos szabályozás helyett inkább a „nyilvánvaló piaci hibákat” akarják eltüntetni. Tulajdonképpen arról van szó, hogy rákényszerítsék a gyártókat az alapvető biztonsági protokollok betartására eszközeik tervezése, fejlesztése és gyártása során. Jelenleg sajnos gyakran tapasztalt jelenség, hogy az IoT-eszközök egészen triviális problémáktól szenvednek.

Az ezeket fejlesztő mérnökök nem rendelkeznek azzal a biztonsági tapasztalattal, amit elvárunk a fő számítógép- és okostelefon-gyártóktól. Egyszerűen azért nem, mert a piac – még – nem hajlandó megfizetni azt a többletköltséget, amit a megfelelő szaktudás alkalmazása jelentene. A dolgok internetét alkotó eszközök többsége nem kap olyan biztonsági frissítéseket, mint amilyenekben a drágább készülékek (PC-k, laptopok, telefonok) időről-időre részesülnek.

Ráadásul, szemben a telefonokkal és a tabletekkel, ezek az olcsó, körülöttünk szinte észrevétlenül elszaporodó IoT készülékek nem cserélődnek évről évre. Alacsony igényeik és a tőlük elvárt funkcionalitás hosszú távon való biztosítása miatt évekig teljesítenek szolgálatot, ha tehát egyszer telepítették őket, akkor igen hosszan kihasználhatók lesznek az általuk hordozott biztonsági hiányosságok. Az egyetlen megoldás – csakúgy, mint a környezetszennyezés esetében – a szabályozás, írta Schneier.

Zöld út a fehér kalapnak

A fent említett törvénytervezet az Atlantic Council és a Harvard Egyetem szakértőinek közreműködésével jött létre. Nem csak a készülékek biztonsági funkcionalitását igyekszik javítani, hanem a sebezhetőségeket kereső biztonsági kutatók hackertevékenységét is igyekszik védeni, nem csupán megengedve, hanem kifejezetten bátorítva az ilyen jellegű hibakeresést.

Furcsa húzás is lenne, ha az IoT biztonságán dolgozók támogatása helyett inkább a helyi rendőri erők bevetését szorgalmazná az amerikai kormányzat, mint ahogyan azt egyes diktatúraszerű országok teszik, hozzáértésük hiányáról teljes bizonyságot adva...