Bezpieczeństwo w inteligentnym domu [ANALIZA]
W niedalekiej przyszłości domy Polaków mogą wyglądać zupełnie inaczej niż obecnie. Inteligentne pralki, lodówki, telewizory komunikujące się ze sobą staną się czymś powszechnym, a nie tylko elementem wystroju domu najbogatszych osób. Wiążę się to jednak z poważnym zagrożeniem dla bezpieczeństwa, w tym w szczególności dla prywatności i danych.
22.12.2017 09:11
Czym jest Smart Home?
Smart Home czyli tzw. automatyka domowa jest możliwością wszechstronnego sterowania urządzeń domowych, które można zaprogramować w taki sposób, żeby komunikacja między nimi odbywała się z minimalną albo wręcz bez ingerencji człowieka. Sterowanie możliwe jest za pomocą przycisków, laptopów, tabletów czy komunikacji głosowej. Smart Home może również uczyć się zachowań domowników i dostosowywać się do nich. Celem zastosowań poniższych rozwiązań jest zwiększenie komfortu mieszkańców domu, ich bezpieczeństwa oraz zmniejszenie ilości zużywanej energii. Mogę one również ułatwić życie osobom niepełnosprawnym oraz starszym, które wielu czynności domów nie mogą wykonać.
Przykłady wykorzystania Smart Home w praktyce mogą uwzględniać system sterowania ogrzewaniem, wentylacją i klimatyzacją (Heating, Ventilation and Air Conditioning). System ten uwzględnia temperaturę, wilgotność powietrza czy zawarty w pomieszczeniu dwutlenek węgla. Kolejnym przykładem jest optymalne oświetlanie, biorące pod uwagę, światło docierające zza okna, co umożliwia zmniejszenie pobierania energii. Ponadto umożliwia to tworzenie odpowiedniego nastroju w pomieszczeniu, w zależności od czynności wykonywanych w danym momencie. Wykorzystując inteligentne oświetlenie, można je zintegrować z systemem bezpieczeństwa i automatycznie sterować włączaniem oświetlenia w pomieszczeniach, gdzie znajdują się ludzie.
Omawiając funkcje Smart Home nie można zapomnieć o wzmocnieniu funkcji alarmowych i zwiększeniu bezpieczeństwa domów i osób w nim przebywających. Mogą składać się z następujących komponentów, jak np. systemu sygnalizacji pożarowej, systemu symulującego obecność domowników poprzez włączanie i wyłączenie odbiorników czy system monitoringu pomieszczeń przy wykorzystaniu kamer. Inne instalacje mogą obejmować system sterowania roletami i żaluzjami, otwierania okien i drzwi, inteligentne lodówki czy maszyny automatycznie karmiące zwierzęta. Nie można też zapominać o funkcjach czysto rozrywkowych, Smart TV czy inne centra rozrywki podłączone do internetu stają się powoli pewną normalnością w większości domów.
Wprawdzie rozwiązania Smart Home nie są jeszcze rozpowszechnione na szeroką skalę, niedługo prawdopodobnie ulegnie to jednak zmianie. Urządzenia te są coraz tańsze i oferują wiele udogodnień. Ich powszechny dostęp stanowi jednak poważne wyzwanie dla bezpieczeństwa ze względu na coraz większą liczbę urządzeń podłączonych do internetu. Warto przyjrzeć się potencjalnym zagrożeniom, żeby Smart Home było równoznaczne z Secure Home.
Zagrożenia dla Smart Home
Pierwszą i najprostszą formę zagrożeń, zagrożenia fizyczne. Elementy Smart Home są wrażliwe na fizyczne uszkodzenia, które mogą doprowadzić do zakłócenia w komunikacji pomiędzy różnymi komponentami. Cześć z elementów wyposażenia takiego domu jak smartfony czy tablety może zostać wyniesiona na zewnątrz, gdzie będzie jeszcze bardziej podatna na zagrożenia. Ponadto większość producentów takiego sprzętu zakłada, że będą one używane tylko przez domowników. Okazuje się jednak, że jeżeli osoba trzecia zdobędzie do niego dostęp może aktualizować oprogramowania, dodać nowe komponenty hardware czy zmienić ustawienia, a nawet wprowadzić szyfrowanie.
Niebezpieczeństwo może już powstać w fazie projektowania lub budowania narzędzi typu Smart Home. Nieodpowiedni lub zły projekt może stanowić źródło zagrożenia i negatywnie wpłynąć na poszczególne elementy Smart Home, ale również na cały system. Na poziomie konkretnych rozwiązań, mogą zostać zaimplementowane niewystarczające rozwiązania bezpieczeństwa. Przykładowo, źle skonfigurowane protokoły SSL mogą oznaczać, że informacja będzie przekazywania w niezaszyfrowany sposób.
Obecnie nie istnieje standaryzacja tworzenia inteligentnych urządzeń w ramach Smart Home. Dlatego jest wiele ścieżek projektowania takich rozwiązań. Każda z nich ma inne standardy bezpieczeństwa i ochrony prywatności. Niektórzy producenci mogą nie mieć doświadczenia w tworzeniu bezpiecznych rozwiązań, a część z nich lekko zmodyfikuje tylko gotowe rozwiązania, bez usprawniania mechanizmu bezpieczeństwa. Programy takie jak Security by Design czy Privacy by Design mogą być dla nich kompletnie obce i nie stosowane na etapie projektowania urządzeń.
Kolejnym problem są często używane, proste, fabryczne hasła, których nie można zmienić. W przypadku inteligentnych żarówek, hasłem może być ich rok produkcji, co znacznie ułatwia pracę hakerom. Wprowadzenie możliwości zmiany hasła nie jest drogie, ale jak podkreślają producenci, nie ma zainteresowania klientów tym rozwiązaniem, co wynika z dość niskiego stopnia świadomości zagrożenia wśród kupujących.
Smart Home zwiększy potrzebę ochrony danych osobowych i prywatności użytkowników. Znacząca, stale wzrastająca liczba powiązanych ze sobą sensorów zbierających coraz więcej informacji, stanowi źródło, bliskich, często prywatnych informacji o aktywności domowników i ich gości. Częsty brak dedykowanego oprogramowania zakłócającego czy też brak szyfrowania komunikacji wynikający ze zbyt dużego zużycia energii elektrycznej, dodatkowych kosztów czy po prostu braku wygody zwiększa ryzyko wycieku informacji.
Ważne jest również odpowiednie zorganizowanie elementów Smart Home, które może zwiększyć ryzyko utraty poufnych informacji. Przykładowo takie technologie wykorzystują usługi serwisu chmurowego do przechowywania informacji. Im większa liczba połączeń zewnętrznych, tym większa szansa wycieku informacji. Występuje również ryzyko, że usługodawcy, którzy zbierają informacje płynące z urządzeń Smart Home, a następnie je przetwarzają, mogą zostać wykupieni przez inne przedsiębiorstwa i nie do końca wtedy wiadomo co może stać się z danymi. Dlatego będzie to wymagało przemyślenia ochrony prywatności.
Kolejne zagrożenie może wynikać z błędnego używania funkcji administratora serwisu. Stopień skomplikowania systemu z licznym urządzeniami, powiązanymi ze sobą i komunikującym się przez różne protokoły stanowi wyzwanie dla administratora serwisu. Dodatkowo automatyzm i funkcja uczenia dodatkowo utrudnia tę kwestię. Biorąc pod uwagę, że systemy takie jak ogrzewanie, woda są kluczowe dla funkcjonowania gospodarstwa domowego, błędy administrowania mogą doprowadzić do powstania poważnych fizycznych uszkodzeń. Przykładowo wiele błędów może wynika ze stosowania systemu głosowego. Zresztą każda, nawet niewielka zmiana w danych może doprowadzić do poważnych skutków.
Czynniki ekonomiczne mogą również negatywnie wpłynąć na poziom bezpieczeństwa w urządzeniach Smart Home. Wśród przedsiębiorstw oferujących swoje rozwiązania nie będą tylko duże korporacje. Narzędzia Smart Home mogą być też efektem prac start-upów, kampanii crowdfundingowych czy nawet własnych rozwiązań stworzonych tzw. domowymi metodami. Trudno sobie wyobrazić, żeby mieli oni wystarczająco czasu i funduszy na dogłębne audyty bezpieczeństwa czy wynajęcie odpowiednich osób do przeprowadzenia testów bezpieczeństwa. Ponadto interesy właścicieli poszczególnych elementów wyposażenia Smart Home nie muszą być zbieżne i mogą stanowić źródło konfliktów. Tworzy to skomplikowane środowisko bezpieczeństwa, która jest trudne do zabezpieczenia.
Jak przeciwdziałać zagrożeniom?
T-Mobile oferuje szereg rozwiązań, które mogą wzmocnić bezpieczeństwo rozwiązań IoT oraz systemów automatyki przemysłowej. Pierwszym z nich jest narzędzie Industrial Threat Protect Pro. Zapewnia ono możliwość dokładnej obserwacji przepływu danych w sieciach wewnętrznych, zmniejszając w ten sposób czas potrzebny na reakcję na potencjalne incydenty. Industrial Threat Protect Pro analizuje słabe punkty i automatycznie zachowuje w pamięci konfigurację sieci razem z używanymi protokołami komunikacyjnymi. Dzięki temu można rozpoznać anomalie w procesie komunikowania się. Industrial Threat Protect uczy się standardowych poleceń czy regularnych wzorców zachowań systemów. W przypadku wykrycia anomalii, systemy wysyła powiadomienie z czasie rzeczywistym i dostarcza dokładne informacje. Tego typu rozwiązanie pozwala na wykrycie anomalii np. w ruchu generowanym przez urządzenia IoT.
To nie jedyne rozwiązanie proponowane przez niemiecką firmę. Kolejnym jest Industrial Network Protect Pro czyli rozproszona zapora (distributed firewall)
. Chroni ona przez nieautoryzowanym dostępem do sieci i niekontrolowanym przepływem danych. Dzięki wykorzystaniu tego rozwiązania przedsiębiorstwa mogą wydzielić w ramach swoich sieci chronione strefy oraz monitorować i kontrolować przepływ danych między nimi. Elementy sieciowe tego rozwiązania mogą zostać również wykorzystane jako sensory do wykrywania ataków.
Zakończenie
SmartHome z pewnością w przyszłości stanie się coraz popularniejszym rozwiązaniem. Niestety niesienie ze sobą wiele nowych zagrożeń. Wydaje się jednak, że biznes zaczyna je powoli zauważać i oferować produkty, które wzmocnią bezpieczeństwo i zmniejszą możliwość potencjalnego ataku hakerskiego.