Az árnyékinformatika (vagy shadow IT) mindig is komoly kihívást jelentett a vállalatoknál az informatikai szervezetnek. (Legutóbb itt foglalkoztunk kimerítően a témával.) Az új technológiák ezt a problémát is új szintre emelik. Ma már nem csak a szűken vett informatikai szolgáltatások okozhatnak ilyen problémát, hanem a rohamosan szaporodó hálózatra kapcsolódó eszközök is.

Mi az az árnyék IoT?

Vegyünk például egy kórházat, ahol nagy mennyiségben van szükség hűtőgépekre. A beruházáskor azonban ügyelnek az értékállóságra, ezért a legkorszerűbb, a hálózatra kapcsolódni képes hűtőket vásárolnak. Amikor azonban beüzemelik az új hűtőgépeket, hirtelen megszaporodnak a kórházon belül a kommunikációs problémák. A WLAN hirtelen túlterhelt lesz, az orvosok időnként nem kapják meg a wifi eszközeikre az üzenetet, fennakadások lesznek Voice over Wi-Fi kommunikációban, a betegfelügyeleti eszközökön nem frissülnek megfelelő ütemben a betegadatok és így tovább. És az ok csupán az, hogy a hűtőgépek – egyébként teljesen fölösleges – kommunikációja leterheli a hálózatot.

És a helyzet csak súlyosbodik, egyes előrejelzések szerint ugyanis már néhány éven belül 200 milliárd IoT eszköz kapcsolódik hálózathoz, azaz minden emberhez kb. 26 ilyen eszköz tartozik majd. Ez a vállalati rendszerek esetében új stratégiát kíván. A tiltás ugyanis önmagában nem segít. Ha az IT-osztályok ehhez folyamodnak, a fürdővízzel a gyereket is kiöntik: lemondanak a technológia kínálta előnyökről csak azért, hogy saját helyzetüket könnyítsék.

Van más út is. Összegyűjtöttünk néhány javaslatot, amivel csökkenthető az árnyék IoT elburjánzásának veszélye.

Ezt bármelyik vállalat megteheti

Szegmentálni kell a hálózatot. Ez egyáltalán nem új, már eddig is sok vállalat alkalmazta, hogy kialakít egy olyan hálózati szegmenst, amely biztosítja ugyan a hálózati kapcsolat minden előnyét, de el van szigetelve a kritikus infrastruktúrától. Az IoT esetében azonban ez önmagában nem elegendő, mivel az IoT-s eszközöknek bizonyos esetekben hozzá kell férniük a vállalati erőforrásokhoz, míg a vendéghálózatnak nem. Ezért itt sokkal átgondoltabb és árnyaltabb hálózatszegmentálásra van szükség, hogy pontosabban szabályozható legyen, mely hálózatszegmensek mely erőforrásokat érhetssenek el.

Felértékelődik a PKI és a NAC. Ez sem független a hálózatszegmentálástól. A NAC (Network Access Control) révén biztosítható, hogy a központi hálózatra kapcsolódó eszközök megbízhatóak legyenek, azaz megfeleljenek az ott előírt minimális biztonsági követelményeknek. A kevésbé megbízható IoT eszközök pedig csak a nekik kijelölt hálózati szegmenshez kapcsolódhatnak. A PKI, azaz a nyilvános kulcsú infrastruktúra (Public Key Infrastructure) pedig abban segíthet, hogy csak olyan végponti eszközök csatlakozhassanak, melyeken a felhasználó bejelentkezett, és az IT-részleg megbízhatónak minősített.

El kell felejteni a Telnetet. Ha ez valamiért nem lehetséges, akkor legalább a külső Telnet-hozzáférést érdemes korlátozni. Ez ugyanis standard jelszavakkal kombinálva a malware-terjesztés melegágya lehet.

Érdemes használni a traffic shapinget (vagy pocket shaping). Ezzel ugyanis priorizálható a forgalom, és előny biztosítható a folyamatok szempontjából kritikus forgalomnak, míg a kevésbé kritikus IoT-kommunikáció háttérbe szorul. Ráadásul így jobban szűrhető a gyanús forgalom is.

MDM helyett mobilitásmendzsment

Míg korábban a mobilitás kapcsán rendre az MDM, azaz a mobileszköz-menedzsment került elő, mostanság már inkább mobilitásmenedzsmentben (EMM – Enterprise Mobility Management) gondolkodnak a biztonsági szakemberek. Utóbbi ugyanis nem csak a mobileszközök kezelésére koncentrál, hanem figyelembe veszi a felhasználót, a mobil eszközt (az okostelefontól a tableten át a különböző IoT eszközökig mindent) és az üzleti folyamatokat is.

Egy EMM nem csak összefogja a már meglévő eszközöket, hanem az IoT-fejlesztéseket is segíti mind a tervezés, mind a tesztelés során.