Bár annak megítélésében, hogy az évtized végéig hány eszköz kapcsolódik a netre, nem egységesek a piackutatók, de abban egyetértenek, hogy az Internet of Things (IoT) robbanás előtt áll. Mint azzal korábban már foglalkoztunk, az elsősorban az IoT-piacot vizsgáló Machina Research 2023-ra jósol 26 milliárd hálózatba kapcsolt eszközt. a Gartner szerint viszont már 2020-ra elérjük ezt a számot. Az IDC látja a legpozitívabban a jövőt: az évtized végére 28,1 milliárd IoT-eszközt jósol. Ez azt jelenti, hogy a legkonzervatívabb becslések szerint is nyolc év alatt hat és félszeresére nő az ilyen eszközök száma.

A téma a CIO Budapesten is terítékre kerül október 14-én a Larus Rendezvényközpontban.

A hálózatba kapcsolt eszközök már most is nagyon komoly problémákat vetnek fel, ám egyelőre csak a látványos ügyekre figyel fel a nagyközönség. A Bitport is beszámolt például a Wired ominózus kísérletéről, melyben egy Jeep Cherokee-t hackeltek meg távolról nagyon durván a Fiat Chrysler autókonszern által használt Uconnect rendszeren keresztül. Az idei Balck Haten pedig azt mutatták be, hogyan lehet viszonylag egyszerűen átvenni az irányítást a TrackingPoint nevű gyártó 13 ezer dolláros felokosított mesterlövész-puskája fölött.

Pedig a probléma sokkal hétköznapibb, és nem is igazán új. Éppen a Black Haten mutatta be néhány éve egy kutató, hogy a vezeték nélküli kommunikációra képes beültetett inzulinpumpák vagy a pacemakerek milyen súlyos veszélyt jelentenek.

Több vállalat használja, mint gondolnánk

Az internethez kapcsolódó eszközöket a munkahelyekről sem lehet kitiltani. A okostelefonokkal, tabletekkel együtt megjelenő BYOD (Bring Your Own Device) pontosan megmutatta, hogy a tiltás nem segít. Ráadásul az IoT-t sokkal nehezebb keretek közé szorítani. Míg az alapvetően informatikai eszköznek tekinthető mobilok és tabletek esetében érvényesülnek biztonsági megfontolások is, kialakultak az ún. mobile devices management (MDM) eszközök, az IoT-ra ez már közel sem igaz. És hogy mennyire nem, azt jól mutatja az OpenDNS által kiadott The 2015 Internet of Things in the Enterprise Report. A tanulmányról a Biztonságportál készített összefoglalót.

A tanulmány vizsgálta az IoT elterjedtségét a vállalati és intézményi infrastruktúrákban, és azt is, hogy milyen biztonsági kockázatokkal jár ez. Voltak meglepetések. A kutatók előfeltevése ugyanis az volt, hogy legfeljebb szórványosan találkoznak majd néhány IoT eszközzel ebben a körben. Ezzel szemben azt tapasztalták, hogy néhány szektorban már tekintélyes az IoT-adatforgalom.

Az OpenDNS az elmúlt három hónap során világszerte 50 millió felhasználó 70 milliárd hálózati kérését vizsgálta. Az így nyert adatok elemzéséből azt szűrték le, hogy az IoT a legnagyobb mértékben a felsőoktatásban, a menedzselt szolgáltatásokat biztosító vállalatoknál és az egészségügyben vetette meg a lábát. Az oktatásban főleg a fiatalok fogékonysága miatt, a menedzselt szolgáltatásokat nyújtó vállalatoknál az ügyfelekhez kihelyezett eszközök, valamint a távoli menedzsment és monitorozó rendszerek hozták be, míg az egészségügyben a korszerű diagnosztikai eszközök segítették az IoT térhódítását.

Ki foglalkozik itt a kockázatok kezelésével?

Az újdonságoknak mindig nagy a vonzereje. Annak idején a közösségi oldalaknál sem foglalkozott senki azzal, hogy milyen biztonsági és adatkezelési kockázatokkal jár az ilyen oldalak használata. Aztán szép lassan felnőttek a felhasználók, és rádöbbentek a veszélyekre. Kicsit így van ez most az IoT-vel is: sokkal izgalmasabbak a technológia lehetőségei, mint a kockázatok. Ráadásul a kockázatok kezelése egyelőre a fejlesztőket is kevésbé izgatja.

A technológiát befogadó vállalatoknak ugyanakkor számolniuk kell ezzel – hívja fel a figyelmet az OpenDNS kutatása –, mivel az új fenyegetettség ellen új védelmi intézkedésekkel kell készülniük. A kockázatok egyébként viszonylag kézenfekvőek: nem felügyelt készülékek, jogosulatlan távoli hozzáférés, adatszivárgási csatornák gyarapodása, csökkenő átláthatóság, betarthatatlan biztonsági szabályok, hogy csak a legfontosabbakat említsük.

Gyakorlatilag durvább formában ismétlődik meg a BYOD-vál már megtapasztalt trend: az IoT eszközök akár teljesen elmoshatják a vállalati és a nyilvános hálózatok közti határokat.

Mást mondanak a vezetők, és mást a felhasználók

Az OpenDNS egy másik kutatásában meg is kérdezte az érintetteket, ráadásul szembesítette a biztonságért felelős szakemberek és a felhasználók tudását és véleményét. Ötszáz-ötszáz informatikai, köztük biztonsági szakembert és felhasználót kérdeztek meg az IoT-ról. A szakemberek 75 százaléka azt állította, hogy cégénél szabályozták az alkalmazottak által birtokolt IoT eszközök használatát. Erről azonban a felhasználók nem nagyon tudta, ugyanis 65 százalékuk állította: nem tud arról, hogy lenne bármiféle IoT-házirend a munkahelyén.

Ebből aztán nem nehéz levonni a következtetést: a felhasználóknak fogalmuk sincs, hogy mit szabad és mit nem, ahogy valószínűleg azzal sincsenek tisztában, hogy ezek a kütyük veszélyesek lehetnek. Ha a helyzet nem változik, abból sok jó nem fog kisülni.

Nehéz rá szabályokat hozni

A probléma ott kezdődik, hogy maga az Internet of Things fogalom nagyon tág. Vajon a mobiltelefon beletartozik? Hiszen egyes szolgáltatásai folyamatosan kommunikálnak más eszközökkel sokszor a felhasználó tudta nélkül. Egy Fitbit okoskarkötő jelent valamiféle biztonsági kockázatot, ha egy vezető magán felejti sportolás után, és azzal megy be a munkahelyére?

Az OpenDNS kutatói is arra jutottak, hogy az IoT nagyon nehezen szabályozható terület az egyes eszközök nagyon is eltérő kockázati szintje miatt. Ők egyébként főleg azokat az eszközöket ítélik kockázatosnak, melyek képesek a felhős tárhelyekkel való együttműködésre. Ha azonban innen közelítünk, gyaníthatóan az eszközök többsége veszélyforrás lesz, hiszen ma az a trend, hogy az IoT eszközöket a felhőhöz – vagy a Cisco esetében például a ködhöz – kössék.