Klub CIO: Cyberataki na środowiska Internetu Rzeczy

Każdy medal ma dwie strony. W Klubie CIO pamiętamy o tej prostej prawdzie, dlatego ważne tematy ze świata IT i biznesu staramy się przedstawiać z różnych perspektyw. Wierzymy, że dzięki temu nasze spotkania pomagają rozwijać umiejętność twórczego myślenia, tak potrzebną w świecie, który szybko się zmienia.

Tematem ostatniego przed wakacjami spotkania Klubu CIO było bezpieczeństwo w środowisku Internetu Rzeczy (IoT). Zróżnicowane grono prelegentów dało szansę na uzyskanie ciekawych perspektyw: przedsiębiorcy i menedżera, którego firma dostarcza technologii do prowadzenia biznesu w oparciu o możliwości IoT, dyrektora informatyki, który na cyberbezpieczeństwo patrzy z punktu widzenia geopolityki, menedżera firmy dostarczającej rozwiązań zwiększających cyberbezpieczeństwo użytkowników urządzeń mobilnych i analityka globalnej firmy badawczej, która śledzi kierunki rozwoju IoT.

IoT – transfer odpowiedzialności za proces

Marek Gabryś jest wiceprezesem firmy AIUT, polskiej firmy inżynierskiej obecnej na 45 rynkach świata, która pod własna marką dostarcza rozwiązania automatyki i IoT. Nasz główny mówca udzielił już na początku prostej i biznesowej odpowiedzi na pytanie, gdzie może rozwijać się IoT: „Rozwiązania AIUT sprawdzają się wszędzie tam, gdzie jest obecna automatyka”. Dziś wspierają procesy pomocnicze, a nie podstawowe. Firma dostarcza klientom rozwiązania OEM, czemu mogą rozwijać swoje produkty i usługi, integrując je z funkcjami IoT, dostarcza m.in. systemy IoT do odczytu zużycia gazu, przedpłaty i zdalnego odcięcia, systemy do odczytu zużycia wody z możliwością rozbudowy o funkcję detekcji wycieków i eliminacji strat. Jeden z ostatnich projektów dla jednej z czołowych firm paliwowych ilustruje kierunek rozwoju IoT.

Sieć czujników dostarczonych przez AIUT jest połączona w sieć zarządzającą stanami paliwa na stacjach. Analizuje i wykrywa anomalie, pozwala optymalizować nadzór nad dostawami – w całym procesie. Takie rozwiązanie to zarazem model, do którego AIUT dąży w obszarze IoT: Process Responsibility as a Service - PRaaS.
W ocenie Marka Gabrysia to sposób najbardziej efektywnego wykorzystania zainstalowanej infrastruktury sprzętowej, oprogramowania i kompetencji dotyczących danego rynku. Jego sformułowanie wymaga bardzo dobrej wiedzy o danym rynku, w przypadku wertykału paliwowego AIUT potrzebował 5 lat na zbudowanie odpowiednich kompetencji. Efektem jest za to całkowite przejęcie od firmy przetwarzania, akwizycji, analizy i interpretacji danych z formułowaniem zaleceń do konkretnych działań i optymalizacji procesu. Łącznie z kwestiami bezpieczeństwa.

Zagadnienie bezpieczeństwa będzie także zdaniem Marka Gabrysia obszarem krótkiej i krwawej wojny konkurencyjnej pomiędzy poszczególnymi dostawcami rozwiązań i usług w obszarze IoT. Jego podejście polega na nadmiarowym w stosunku do regulacji zabezpieczeniu wszystkich urządzeń w sieci, szyfrowanie wszystkich informacji w obiegu IoT. Każde inne podejście ocenia jako krytyczną podatność – otwartość na skuteczny atak. Brak kompetencji lub woli zabezpieczenia end-to-end wyrzuci z rynku znaczną liczbę podmiotów.

„Czy chiński cybersmok jest straszny?”

Czy można dziś oddzielić kwestię cyberbezpieczeństwa od bezpieczeństwa w ogóle? To oczywiście niemożliwe. A jeśli tak – to nie da się również oddzielić cyberbezpieczeństwa od kwestii geopolityki. Szczęśliwie – czy nie, ostatnie wydarzenia ostatecznie przekreśliły iluzję neutralności technologicznej, czy „rozdziału technologii IT od państwa”.

Tomasz Matuła od dawna komentuje zagadnienia cyberbezpieczeństwa uwzględniając geopolityczne starcie które prowadzą najwięksi gracze: Chiny, USA i Rosja. Ataki hakerskie, ingerencje w wybory poprzez dezinformację w mediach społecznościowych, regulacje prawne dotyczące (braku) dostępu obywateli do cyberprzestrzeni czy zerwanie współpracy z czołowymi firmami chińskimi, jak Huawei, przez amerykańskie firmy - to wszystko pokazuje, że walka o dominację w świecie przenosi się do cyberprzestrzeni.

Krajem, który aktywnie zmienia globalny układ sił są oczywiście Chiny. Państwo Środka robi to konsekwentnie, wg doktryny 24 znaków Deng-Xiaopinga (wyrażonej w zaleceniach „Ukrywajcie własne możliwości”, „Czekajcie na swój czas, nie wychodząc przed szereg”, „Nie podnoście głowy, żądając przywództwa”, „Uderzcie, gdy zwycięstwo będzie pewne”).
Chińczycy dążą do gospodarczej dominacji (dziś są gospodarką nr 2 na świecie), a filarem ich dominacji jest Nowy Jedwabny Szlak oparty na transporcie kolejowym i morskim. Tworzą również „Cyfrowy Jedwabny Szlak”: superszybkie łącza, globalny system nawigacji satelitarnej BeiDou uniezależniający od GPS, dominująca pozycja w rozwiązaniach sieci 4G. Jeśli gospodarczą konkurencję wygra ten, kto będzie technologicznie panował nad budową sieci 5G (nota bene – fundament rozwoju IoT), to osiągnięcie pozycji hegemona przez Chiny wydaje się pewne.

Przewaga technologiczna czyni z Chin groźnego przeciwnika w cyberwojnie. Oprócz Chin uczestniczą w niej USA i Rosja. W ramach tej wojny rządy tych trzech państw inwigilują obywateli i regulują ich przestrzeń informacyjną. Stąd ponura konkluzja: weszliśmy w erę „Wielkiego Brata 3.0, poddając się kontroli rządów i współpracujących z nimi firm. A sieci IoT będą polem tej walki, której konsekwencje nieuchronnie będą dotykać firmowych i indywidualnych użytkowników.

Powrót ikony bezpieczeństwa

Stanisław Socha z firmy Cyfrowe Centrum Serwisowe, dystrybutora telefonów BlackBerry, kojarzonej z wyśrubowanymi standardami bezpieczeństwa, poruszył problem zagrożeń związanych z ekosystemem urządzeń mobilnych.

Badanie przeprowadzone przez CCS dowodzi, że połowa zatrudnionych nie wie, jakie zagrożenia czyhają na nich, gdy korzystają z urządzeń mobilnych.
Drugim problemem jest brak wiedzy, jak zabezpieczyć dane w urządzeniach mobilnych. Stanisław Socha przypomniał starą prawdę, że lepiej zapobiegać niż leczyć . Czy zabezpieczenia oferowane w najnowszym BlackBerry Key 2 są na miarę obecnego hasła marki „An Icon Reborn”, pokaże rynek.

Scenariusz rozwoju IoT

Jarosław Smulski, research manager w IDC Poland zaprezentował scenariusze rozwoju IoT i możliwe zagrożenia. Jak oblicza IDC, już ponad 40% europejskich firm wykorzystuje IoT lub wdraża pilotażowe projekty IoT. Rozwój IoT w Europie ogniskuje się wokół 5 głównych tematów: platform IoT, Edge Computing, nowych modeli biznesowych, monetyzacji danych i połączonych ekosystemów.

Jest wiele przykładów wdrożenia IoT z sukcesem. Jarosław Smulski opowiedział o 6 przypadkach, które reprezentują różne typy. Platforma BMW Car Data umożliwia kierowcom dzielenie się danymi telematycznymi zbieranymi przez ich samochody z wybranymi partnerami w celu otrzymania dodatkowych usług i wsparcia. Ekspres do kawy od Illy dzięki integracji z usługą Amazon Dash Replenishment sam zamawia kawę zanim skończą się zapasy. Stadion Borussii Dortmund naszpikowany jest technologiami takimi, jak digital signage, reklama kontekstowa i płatności NFC, które pozwalają oferować kibicom wyjątkowe wrażenia – i mówiąc żargonem marketingowym: doświadczenia.

A bezpieczeństwo?

W ocenie IDC, to właśnie bezpieczeństwo jest największą przeszkodą w rozwoju IoT. Wiele urządzeń włączanych do sieci jest podatnych na zagrożenia, osłabiając całą sieć.
IoT jest złożoną strukturą, przechowuje dane wrażliwe i często stanowi część krytycznej infrastruktury, coraz częściej jest obiektem cyberataków. Jednym z najwcześniejszych i zarazem najgłośniejszych był atak z użyciem robaka Stuxnet na irańskie ośrodki wzbogacania uranu. Przypadek ten ukazuje skalę zagrożenia.

Zdecydowanie podnieść bezpieczeństwo Internetu Rzeczy może technologia blockchain. Zdecentralizowane składowania danych zagwarantuje, że całość sieci będzie mniej podatna na ataki, zakłócenia i błędy autoryzacji. Problemu bezpieczeństwa nie da się rozwiązać w pojedynkę - kluczem do sukcesu będzie współpraca firm z obszarów IoT, Blockchainu i bezpieczeństwa.

...a może w Bieszczady?

Rozwój nowych technologii może rodzić ambiwalencję i niepewność co do ich skutków. Dało się to wyczuć podczas dyskusji po wystąpieniu prelegentów, gdy jeden z uczestników spotkania zadał filozoficzne pytanie: „czy powinniśmy wyjechać w Bieszczady?” Fatalizm nie leży w naturze dyrektorów IT. Świadomość zagrożeń związanych IoT będzie ich raczej zachęcać do tego, by stawić im czoła. Swoją drogą, warto zapytać: czy wyjechawszy w Bieszczady na pewno uwolnilibyśmy się od Internetu Rzeczy, skoro IoT znajduje zastosowanie w gospodarce leśnej i ochronie środowiska. To czy bieszczadzkie rysie nie będą niebawem korzystać z jego dobrodziejstw?

Stanisław Socha, Cyfrowe Centrum Serwisowe S.A.

Nowoczesne telefony oprócz tego, że usprawniają komunikację i ułatwiają wykonywanie codziennych obowiązków, mogą być furtką dla cyberprzestępców. Wykorzystanie w biznesie urządzeń mobilnych wymaga więc odpowiedniego przygotowania zarówno ze strony firmy, jak i samych użytkowników. Jak to wygląda w praktyce? Z naszych badań wynika, że firmowe urządzenia w większości przypadków posiadają podstawowe zabezpieczenia chroniące dane i prywatność. Najczęściej jest to automatyczna blokada telefonu po określonym czasie nieużytkowania oraz uwierzytelnianie przy każdej próbie odblokowania, a także szyfrowanie pamięci wbudowanej i karty SD.

Coraz częściej jednak właściciele firm podchodzą do kwestii bezpieczeństwa telefonów służbowych z większym zrozumieniem potencjalnych zagrożeń i możliwych konsekwencji. Wiedząc, jak wiele mają do stracenia – dane klientów, tajemnice handlowe czy technologie – właściciele firm podążają za przykładem globalnych korporacji, najważniejszych instytucji, a nawet rządów największych państw wybierając telefony BlackBerry. Marka w ciągu wielu lat swojej działalności stała się ikoną bezpieczeństwa. Zdobyte w tym czasie doświadczenie posłużyło Kanadyjczykom do udoskonalenia Androida, najpopularniejszego na świecie systemu operacyjnego dla urządzeń mobilnych. Podstawą wprowadzanych zabezpieczeń jest polepszenie integralności systemu. W tym celu do oprogramowania w smartfonach zaimplementowano szereg uszczelnień. Poprawki bezpieczeństwa dodane zostały w każdej warstwie urządzenia – od aplikacji monitorującej poziom ochrony, przez łatki bezpieczeństwa, zmiany w systemie oraz jego jądrze, a także mechanizmy działania pamięci – po sam hardware. Wielopłaszczyznowa struktura ochronna, bieżące wsparcie zespołu ekspertów i najskuteczniejsza dystrybucja aktualizacji krytycznych sprawiają, że smartfony BlackBerry są obecnie najlepiej zabezpieczonymi urządzeniami z systemem Android. To telefon stworzony dla biznesu.