Internet rzeczy (ang. Internet of Things) to zjawisko, które towarzyszy nam dziś już na niemal każdym kroku. Zarówno w pracy, jak i poza nią. Wszystkie zsynchronizowane urządzenia działają wspólnie, by upraszczać nasze codzienne życie. Jednak czy nie ułatwiamy też w ten sposób życia innym, mniej uczciwym ludziom?
Żeby lepiej zrozumieć istotę problemu, na zagadnienie Internetu rzeczy możemy spróbować spojrzeć bardziej obrazowo. Wyobraźmy sobie wielki dom razem z jego mieszkańcami. Będzie on symbolizować nasze dane, a domownicy użytkowników. Następne są drzwi. One będą z kolei symbolizować wszystkie używane przez nas urządzenia. A tych mamy całą masę. Niektóre drzwi łączą pokoje z korytarzami, ze sobą nawzajem, a jeszcze inne prowadzą na zewnątrz. Tak samo urządzenia mogą łączyć się z siecią wewnętrzną, Internetem lub między sobą.
Czemu służy Internet rzeczy?
Podobieństwa na tym się nie kończą. Im większy jest nasz dom, tym łatwiej i przyjemniej się z niego korzysta. Wzrastają też jego możliwości. W im więcej drzwi go wyposażymy, tym szybciej jesteśmy w stanie się po nim poruszać. Uzyskujemy w ten sposób łatwiejszy dostęp do wielu miejsc i narzędzi. Z tego właśnie powodu coraz więcej firm decyduje się na wprowadzanie IoT do swoich zakładów pracy. Możne go spotkać już nie tylko na najwyższych szczeblach firmowej hierarchii, takich jak działy kadr czy zarządzania ryzykiem. Jest on przede wszystkim niezwykle użyteczny na bardziej podstawowych poziomach, takich jak transport czy produkcja. Im więcej pracowników, tym więcej urządzeń. A im więcej urządzeń, tym większe oszczędności na organizacji i zarządzaniu. Póki co XXI w. upływa właśnie pod znakiem Internetu rzeczy. Wkrada się on już do praktycznie każdej sfery codziennego życia.
IoT a bezpieczeństwo
Niestety, podobieństw między Internetem rzeczy a domem jest więcej. Jak powszechnie wiadomo, oprócz okien, najsłabszym punktem zabezpieczeń domu właśnie drzwi. Jeśli ktoś będzie próbował się włamać, najprawdopodobniej zrobi to właśnie przez nie. Im jest ich więcej, tym większa szansa na przeoczenie, że ktoś może przy nich majstrować. Z tego względu inwestujemy w najróżniejsze zabezpieczenia – zamki, alarmy czy firmy ochroniarskie. Dlaczego więc z urządzeniami cyfrowymi mielibyśmy postępować inaczej?
Programów antywirusowych i zapór sieciowych nie trzeba już nikomu przedstawiać. Niestety w dzisiejszych czasach okazują się one niewystarczające. Co prawda polskie media zdają się o tym milczeć, jednak hakerzy nie pozostawiają suchej nitki na narzędziach tworzonych w nurcie otwartego oprogramowania (ang. open source). Ostatnio szerokim echem odbiło się wypuszczenie nowego konia trojańskiego. Jego głównym zadaniem jest przenikanie nie tylko do systemów opartych na Linuxie, ale też do urządzeń Internetu rzeczy.
Pomysłowość i zaradność cyberprzestępców zdają się nie znać granic. Dlatego też szanujące się firmy powinny koncentrować się na wynoszeniu swoich zabezpieczeń na wyższy poziom. Dobrym pomysłem na początek może być szyfrowanie połączeń między urządzeniami przy użyciu wirtualnej sieci prywatnej (ang. Virtual Private Network – VPN).
Internet rzeczy a VPN
Zanim pospiesznie wpiszesz w swojej wyszukiwarce frazę „vpn co to”, zaznaczyć należy, że IoT VPN to nie zwykły VPN. Między nim a komercyjnie dostępnymi rozwiązaniami istnieje sporo różnic. O ile ogólne założenia pozostają z grubsza takie same, o tyle diabeł tkwi w szczegółach. Dlatego też należałoby doprecyzować, na czym polegają te różnice.
Kiedy urządzenie należące do IoT wysyła lub odbiera dane, VPN szyfruje je dla bezpieczeństwa. Ponadto VPN uwierzytelnia każde urządzenie, upewniając się, czy zostało ono wcześniej autoryzowane do połączenia. Gdy pracownik musi uzyskać dostęp do objętego ochroną urządzenia, VPN zabezpiecza je, zanim umożliwi korzystanie z niego użytkownikowi. Co więcej, ogranicza też ryzyko wycieku danych, używając osobnych wirtualnych sieci prywatnych dla różnych grup urządzeń.
Na tym jednak różnice się nie kończą. Tradycyjne sieci VPN są przystosowane do pracy wykorzystującej szybkie połączenia. Te dostosowane do Internetu rzeczy najczęściej pracują jednak na sieciach mobilnych. Są to głównie sieci takie jak 2G, 3G, 4G, 5G czy LTE. Charakteryzują się one mniejszą przepustowością i jako połączenia mobilne, są bardziej podatne na utraty łączności. Te z resztą mogą być intencjonalną częścią designu sieci wewnętrznej. Może on zakładać, że użytkownik usypia lub wyłącza urządzenie, po czym włącza je za jakiś czas. Z tego względu dedykowany VPN musi odnawiać połączenia bez umożliwienia innym dostania się do swojego tunelu. To trochę tak jak zamykanie drzwi, zanim ktoś zdąży włożyć nogę między nie a framugę. W końcu im jest ich więcej, tym większa szansa, że któreś z nich mogą pozostać niedomknięte.
Na co jeszcze należy zwrócić uwagę?
Przy omawianiu zabezpieczeń swojego Internetu rzeczy przy użyciu sieci VPN, należy również zwrócić uwagę na sposób szyfrowania połączeń. Bardzo ważne jest to, by każde urządzenie dysponowało osobnym kodem szyfrującym. W przeciwnym wypadku haker po zdobyciu jednego klucza jest w stanie obejść zabezpieczenia wszystkich połączeń. To trochę tak, jak używanie jednego, tego samego zamka we wszystkich drzwiach.
Z podobnych przyczyn kody szyfrujące powinny być automatycznie i regularnie zmieniane. Jeśli tak się nie stanie, włamywacze mogą próbować tzw. ataków siłowych (ang. brute force attack). Jest to typ ataku, który po kolei sprawdza wszystkie możliwe kombinacje szyfru, aż do skutku. Na szczęście przed tego typu praktykami skutecznie bronią też najnowsze protokoły szyfrowania. Wydłużają one po prostu ciąg elementów kodu do niebotycznych długości. Dzięki temu praktycznie żaden współczesny komputer nie jest w stanie poradzić sobie z liczbą możliwych kombinacji.
Co dalej?
Szacuje się, że do 2026 r. liczba aktywnych urządzeń podłączonych do Internetu rzeczy ma przekroczyć 25 miliardów (sic!). Jeśli w twojej firmie IoT jest wszechobecny, jego bezpieczeństwo powinno być dla Ciebie priorytetem. Oprócz cyfrowych zabezpieczeń warto zadbać też o edukację swoich pracowników, kolegów i podwładnych. W końcu nie od dziś wiadomo, że najsłabszym ogniwem w łańcuchu zabezpieczeń jest właśnie człowiek.
Coraz więcej osób wskazuje też na fakt, iż bezpieczeństwo narzędzi pracy, które nie są komputerami stacjonarnymi, jest traktowane po macoszemu. Hakerom nie robi jednak żadnej różnicy to, czy włamują się na smartwatch, telefon czy tablet. Do tego należy wziąć pod uwagę, że podczas pracy wykonywanej zdalnie, urządzenia mogą być narażone na cyberataki w jeszcze większym stopniu. Domowe sieci prywatne nierzadko są zabezpieczane znacznie gorzej od tych firmowych. Ponadto coraz popularniejsza staje się też praca z miejsc publicznych, takich jak kawiarnie czy przestrzenie coworkingowe. Użytkownicy najczęściej korzystają wtedy z publicznych, ogólnodostępnych hotspotów. Niestety, one również nie cechują się zbyt wysokim poziomem bezpieczeństwa. Dlatego właśnie świadomość bezpieczeństwa – własnego i urządzeń – jest tak ważna. W końcu nawet najdoskonalsze drzwi antywłamaniowe i najlepsze, najbezpieczniejsze zamki na nic się zdadzą, jeśli po prostu pozostawimy drzwi szeroko otwarte.