Nie bagatelizując problemu bezpieczeństwa systemów inteligentnych domów, z lekkim jednak zaskoczeniem czytamy kolejny1 artykuł2 w ogólnopolskich mediach, malujący złowrogą wizję cyberataków na inteligentne domy. Czarnowidztwo autorów z agencji informacyjnej zaskakuje tym bardziej, że bazują na danych, które takiego wydźwięku nie mają. Spróbujmy więc się w nie zagłębić i na zarzuty odpowiedzieć pozytywnie.
rajobraz zagrożeń i dobre praktyki dla inteligentnych domów i internetu rzeczy” (oryg. „Threat Landscape and Good Practice Guide for Smart Home and Converged Media”) – to najnowszy raport Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), który analizuje obszary ryzyka związanego z integracją domowych urządzeń i połączeniem ich z Internetem, a także opisuje zalecenia dla projektantów i użytkowników, które mogą ograniczyć to ryzyko. Raport został opublikowany w grudniu 2014 r., jednak doniesienia o nim w polskich mediach ukazały się w lutym 2015 r. Niestety, autorzy polskich doniesień skupili się tylko na pierwszej części opracowania, podsumowując je groźnym zdaniem „Agencja ocenia, że ryzyko włamania do takich systemów [inteligentnego domu – przy. aut.] jest wysokie”. Tymczasem warto przyjrzeć się całości raportu – zrozumieć cel analizy i nagłośnić wymienione dobre praktyki, które nie są przecież listą niezrozumiałych dla zwykłego śmiertelnika zabezpieczeń, ale raczej apelem o rozsądek inwestorów.
Kilka słów o zagrożeniach
Co prawda o zagrożeniach czyhających na mieszkańców smart home napisano już chyba wszystko w rzeczonym artykule, jednak dla porządku wymieńmy najważniejsze. Chodzi o przestępstwa wynikające z nieupoważnionego dostępu do danych systemu zarządzania domem, które zbierają połączone w inteligentnym domu sensory i urządzenia, i które dzięki opcji zdalnego sterowania często są dostępne przez Internet. Są to dane o działaniach i zwyczajach domowników, niematerialne własności, takie jak filmy czy muzyka oraz wrażliwe dane osobowe – zdjęcia, dokumenty, ale też hasła czy dane finansowe. Dane te mogą przypadkowo wypłynąć przez nieprawidłową konfigurację odbiorników smartTV, ale mogą też być obiektem ataku przestępców, którzy wykorzystają je na potrzeby własne lub udostępnią innym. W skrajnym przypadku, po „zhakowaniu” urządzeń, przestępcy mogą przejąć nad budynkiem kontrolę i np. rozbroić alarm.
Jak wiele jest takich przypadków? Zacytujmy raport: „Przepytani eksperci uważają, że obecnie poziom zagrożenia przestępstwem jest stosunkowo niski, m.in. ze względu na dość małą liczbę inteligentnych domów”.
Zalecenia
Przejdźmy więc do analizy przedstawionych tzw. dobrych praktyk, które uchronią przyszłych właścicieli smart home.
„Jedną z dobrych praktyk, zapewniających bezpieczeństwo inteligentnych domów, są przemyślane decyzje na etapie projektowania systemu inteligentnego domu, w tym sposób integracji pracy poszczególnych elementów systemu ” – piszą autorzy i zalecają m.in:
- stosuj jednorodny system, w szczególności na poziomie obiektowym – systemy łączące różne protokoły komunikacyjne i różne technologie są bardziej podatne na ataki cyberprzestępców,
- wybierz otwarte protokoły komunikacyjne, obsługujące urządzenia na poziomie obiektowym, aby zapewnić możliwość kontroli wdrożenia i zrozumiałość komunikacji między urządzeniami – m.in. na wypadek, gdyby producent twojego systemu zakończył działalność,
- oddziel sieci komunikacyjnych aplikacji bezpieczeństwa od pozostałych sieci,
- o ile to możliwe, przechowuj dane lokalnie (a nie w tzw. chmurze) i pozostaw je pod kontrolą właściciela budynku (z poziomu intefejsu),
- jeśli projektujesz system oparty na chmurze, pamiętaj o dodatkowych zabezpieczeniach,
- stosuj możliwie najmniej usług i aplikacji zewnętrznych, których zabezpieczeń nie znasz i nie masz na nie wpływu (np. IFTTT),
- nie podłączaj urządzeń RTV/AGD do Internetu, o ile to nie jest konieczne,
- nie sugeruj (producencie)/nie używaj (użytkowniku) domyślnych haseł,
- zadbaj o bezpieczne przechowywanie haseł,
- stosuj szyfrowanie przesyłu danych,
- stosuj zabezpieczone bramki IP,
- stosuj autoryzację urządzeń końcowych, nie dopuszczaj do nieautoryzowanych połączeń http,
- aktualizuj oprogramowanie tak często, jak jest dostępne,
- uwierzytelniaj przesyłanie wiadomości.
Dla branży automatyki budynkowej powyższe zalecenia to podstawowe zasady bezpieczeństwa. Owszem, dobry haker znajdzie lukę w nawet najlepszym systemie, jednak z dużym prawdopodobieństwem można przyjąć, że zagrożenia analizowane w raporcie ENISA nie odnoszą się do tradycyjnych systemów automatyki domowej. Użytkownicy systemu KNX, czy też innych systemów home automation, nawet tych korzystających z tzw. zamkniętych, firmowych protokołów komunikacyjnych, mogą spać spokojnie.
Kto więc powinien wziąć sobiedo serca powyższe zalecenia?
Przede wszystkim fani gadżetów i nowości rynkowych, szczególnie z obszaru Internetu rzeczy (IoT), gdyż te rozwiązania bazują na aplikacjach mobilnych i przechowują dane w chmurze. Zgodnie z zeszłorocznym raportem HP i firmy Gartner, 80% tych urządzeń ma niewystarczająco bezpieczne hasła, 70% z nich używa nieszyfrowanych usług sieciowych, a jednocześnie aż 90% zbiera wrażliwe dane osobowe. Wynika to m.in. z tego, że urządzenia IoT są najczęściej tworzone przez małe firmy (start-upy) lub nawet inicjatywy crowdsourcingowe, które ścigając się o konkurencyjność cenową, często nie nadążają z implementacją odpowiednich narzędzi i technik ochrony swoich rozwiązań i danych.
Ostrożni powinni być też użytkownicy „pseudoautomatyki”, która pozwala na zdalny (z poziomu smartfona) monitoring całego domu (ale bez możliwości sterowania) oraz domorośli integratorzy (fani koncepcji DIY– Do It Yourself – zrób to sam), którzy łączą wszystko ze wszystkim, w tym urządzenia smart RTV oraz AGD.
* * *
„Potrzeba szkoleń instalatorów” – to jedna z konkluzji raportu. I choć edukacji nigdy za wiele, zwłaszcza w tak postępującej dziedzinie, to raczej sugerowalibyśmy nakierowanie jej na odbiorców ostatecznych. Znajomość i zachowywanie przez nich podstawowych zasad bezpieczeństwa pomoże wykluczyć 90% zagrożeń. Szkolić warto też domorosłych instalatorów i przekonywać, że przy tak delikatnej materii warto zatrudnić specjalistę. Będzie to lepsze niż straszenie inteligentnymi domami. Tak jak podkreślają autorzy z ENISA – inteligentne budownictwo to szansa dla rynków, to efektywność i wygoda dla użytkowników. I głupstwem byłaby próba zatrzymania tego trendu.
Autor: Alina Szastok, Klaster Inteligentne Budownictwo
Źródła:
Raport „Threat Landscape and Good Practice Guide for Smart Home and Converged Media”, http://www.enisa.europa.eu/media/press-releases/are-smart-homes-cyber-security-smart.
„Internet of Things research study. Report 2014”,
Przypisy:
1 W ostatnim czasie na łamach „Polityki” i „Komputer Świata” pojawiły się dwa niekompetentne artykuły związane z systemami automatyki budynkowej, m.in. KNX. Polecamy komentarze branży do artykułów: http://inteldom.blogspot.com/2014/10/niepotrzeb.html oraz www.dominteligentny.info/specjalisci-pisza-inteligentnych-domach/.
2 „Systemy inteligentnych domów podatne na ataki cyberprzestępców”, PAP, www.wnp.pl/wiadomosci/244598.html.
Fot. Klaster Inteligentnego Budownictwa