Nie bagatelizując problemu bezpieczeństwa systemów inteligentnych domów, z lekkim jednak zaskoczeniem czytamy kolejny1 artykuł [http://www.wnp.pl/wiadomosci/244598.html ] w ogólnopolskich mediach malujący złowrogą wizję cyberataków na inteligentne domy. Czarnowidztwo autorów z agencji informacyjnej zaskakuje tym bardziej , że bazują na danych, które takiego wydźwięku nie mają. Spróbujemy więc się w nie zagłębić i na zarzuty odpowiedzieć pozytywnie.
Krajobraz zagrożeń i dobre praktyki dla inteligentnych domów i internetu rzeczy (oryg. Threat Landscape and Good Practice Guide for Smart Home and Converged Media )- to najnowszy raport Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), który analizuje obszary ryzyka związanego z integracją domowych urządzeń i połączeniem ich z siecią internetu, a także opisuje zalecenia dla projektantów i użytkowników, które mogą ograniczyć to ryzyko. Raport został opublikowany w grudniu 2014 roku, jednak doniesienia o nim w polskich mediach ukazały się w lutym 2015 r. Niestety autorzy polskich doniesień skupili się tylko na pierwszej części opracowania, podsumowując je groźnym zdaniem „Agencja ocenia, że ryzyko włamania do takich systemów [inteligentnego domu] jest wysokie”. Tymczasem warto przyjrzeć się całości raportu – zrozumieć cel analizy i nagłośnić wymienione dobre praktyki, które nie są przecież listą niezrozumiałych dla zwykłego śmiertelnika zabezpieczeń, ale raczej apelem o rozsądek inwestorów.
Kilka słów o zagrożeniach
Co prawda o zagrożeniach czyhających na mieszkańców smart home napisano już chyba wszystko w rzeczonym artykule, jednak dla porządku wymienię najważniejsze. Chodzi o przestępstwa wynikające z nieupoważnionego dostępu do danych systemu zarządzania domem, które zbierają połączone w inteligentnym domu sensory i urządzenia, i które dzięki opcji zdalnego sterowania często są dostępne przez internet. Są to dane o działaniach i zwyczajach domowników, niematerialne własności, takie jak filmy czy muzyka oraz wrażliwe dane osobowe – zdjęcia, dokumenty, ale też hasła czy dane finansowe. Dane te mogą przypadkowo wypłynąć przez nieprawidłową konfigurację smartTV, ale mogą też być obiektem ataku przestępców, którzy wykorzystają je na potrzeby własne lub udostępnią innym. W skrajnym przypadku po zhakowaniu urządzeń, przestępcy mogą przejąć nad budynkiem kontrolę i np. rozbroić alarm.
Jak wiele jest takich przypadków? Zacytujmy raport: „Przepytani eksperci uważają, że obecnie poziom zagrożenia przestępstwem jest stosunkowo niski, m.in. ze względu na stosunkowo małą liczbę inteligentnych domów”.
Zalecenia
Przejdźmy więc do dobrych praktyk, które uchronią przyszłych właścicieli smart home.
„Jedną z dobrych praktyk zapewniających bezpieczeństwo inteligentnych domów są przemyślane decyzje na etapie projektowania systemu inteligentnego domu, w tym sposób integracji pracy poszczególnych elementów systemu. ” – piszą autorzy i zalecają m.in:
· stosuj jednorodny system – systemy łączące różne protokoły komunikacyjne i różne technologie są bardziej podatne na ataki cyberprzestępców,
· wybierz otwarte protokoły komunikacyjne, aby zapewnić możliwość kontroli wdrożenia i zrozumiałość komunikacji między urządzeniami – m.in. na wypadek, gdyby producent twojego systemu zakończył działalność,
· oddziel sieci komunikacyjnych aplikacji bezpieczeństwa od pozostałych sieci,
· o ile to możliwe przechowuj dane lokalnie (a nie w chmurze) i pozostaw je pod kontrolą właściciela budynku (z poziomu intefejsu),
· jeśli projektujesz system oparty na chmurze, pamiętaj o dodatkowych zabezpieczeniach,
· stosuj możliwie najmniej usług i aplikacji zewnętrznych, których zabezpieczeń nie znasz i nie masz na nie wpływu, (np. IFTTT),
· nie podłączaj urządzeń RTV/AGD do internetu, o ile to nie jest konieczne,
· nie sugeruj (producencie)/nie używaj (użytkowniku) domyślnych haseł,
· zadbaj o bezpieczne przechowywanie haseł,
· stosuj szyfrowanie przesyłu danych,
· stosuj zabezpieczone bramki IP,
· stosuj autoryzację urządzeń końcowych, nie dopuszczaj do nieautoryzowanych połączeń http,
· aktualizuj oprogramowanie tak często, jak jest dostępne,
· uwierzytelniaj przesyłanie wiadomości;
Dla branży automatyki budynkowej powyższe zalecenia to podstawowe zasady bezpieczeństwa. Owszem, dobry haker znajdzie lukę w nawet najlepszym systemie, jednak z dużym prawdopodobieństwem można przyjąć, że zagrożenia analizowane w raporcie ENISA nie odnoszą się do tradycyjnych systemów automatyki domowej. Użytkownicy systemu KNX czy zamkniętych systemów home automation mogą spać spokojnie.
Kto więc powinien wziąć sobie do serca powyższe zalecenia? Przede wszystkim fani gadżetów i nowości rynkowych, szczególnie z obszaru internetu rzeczy (IoT), gdyż te rozwiązania bazują na aplikacjach mobilnych i przechowują dane w chmurze. Zgodnie z zeszłorocznym raportem HP i firmy Gartner, 80% tych urządzeń ma niewystarczająco bezpieczne hasła, 70% z nich używa nieszyfrowanych usług sieciowych, a tymczasem 90% zbiera wrażliwe dane osobowe. Wynika to m.in. z faktu, że urządzenia IoT są najczęściej tworzone przez małe firmy (start-upy) lub nawet inicjatywy crowdsourcingowe, które ścigając się o konkurencyjność cenową często nie nadążają z ochroną swoich rozwiązań.
Ostrożni powinni być też użytkownicy „pseudo-automatyki”, która pozwala na zdalny (z poziomu smartphone’a) monitoring całego domu (ale bez możliwości sterowania) oraz domorośli integratorzy (fani koncepcji DIY), którzy łączą wszystko ze wszystkim, w tym urządzenia smart RTV oraz AGD.
„Potrzeba szkoleń instalatorów” – to jedna z konkluzji raportu. I choć edukacji nigdy za wiele, zwłaszcza w tak postępującej dziedzinie, to raczej sugerowałabym nakierowanie jej na odbiorców ostatecznych. Znajomość i zachowywanie przez nich podstawowych zasad bezpieczeństwa pomoże wykluczyć 90% zagrożeń. Szkolić warto też domorosłych instalatorów i przekonywać, że przy tak delikatnej materii, warto zatrudnić specjalistę.
Będzie to lepsze niż straszenie inteligentnymi domami. Tak jak podkreślają autorzy z ENISA – inteligentne budownictwo to szansa dla rynków, to efektywność i wygoda dla użytkowników. I głupstwem byłaby próba zatrzymania tego trendu.
Źródła:
· Raport „Threat Landscape and Good Practice Guide for Smart Home and Converged Media” http://www.enisa.europa.eu/media/press-releases/are-smart-homes-cyber-security-smart
· “Internet of Things research study. Report 2014”
http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-4759ENW.pdf
1W ostatnim czasie na łamach „Polityki” i „Komputer Świat” pojawiły się 2 mocno niekompetentne artykuły zw. z systemami automatyki budynkowej, m.in. KNX. Polecam komentarze branży do artykułów http://inteldom.blogspot.com/2014/10/niepotrzeb.html oraz http://www.dominteligentny.info/specjalisci-pisza-inteligentnych-domach/ .
Autor: Alina Szastok, Klaster Inteligentne Budownictwo
Fot. Wikimedia Commons/Alakasam
