Internet of Things - wyzwania dla bezpieczeństwa

Termin „Internet of Things” najprawdopodobniej został po raz pierwszy użyty już w 1999 roku, przez Kevina Ashtona, współzałożyciela i dyrektora wykonawczego Auto-ID Center, który właśnie takim zwrotem zatytułował prezentację przygotowaną dla przedstawicieli koncernu Procter & Gamble i przedstawiającą wykorzystanie urządzeń RFID w łańcuchu dostaw. Etymologia ma jednak drugorzędne znaczenie, znacznie ważniejsze jest to, co faktycznie należy dziś rozumieć pod tym pojęciem i jakie konsekwencje wnosi opisywane nim zjawisko do kwestii związanych z bezpieczeństwem danych.

Czym jest Internet Rzeczy? Najogólniej chodzi o zbiór wszystkich urządzeń, które zdolne są do komunikacji sieciowej oraz potrafią same w jakimś stopniu przetwarzać dane przesyłane przez sieć i są również w tej sieci jednoznacznie identyfikowalne.

Firma Cisco, ogólnoświatowy potentat w branży sieciowej i firma, której produkty stanowią dziś dość znaczny składnik ogólnej infrastruktury technicznej globalnej sieci, od dłuższego czasu na swojej witrynie domowej publikuje ciekawy licznik pokazujący ile urządzeń, zwanych tu „obiektami” jest podłączonych do internetu. Według danych Cisco w 2012 roku do Sieci podłączonych było 8,7 miliarda różnych urządzeń, rok później już ponad 10 miliardów, a dziś – jeżeli wierzyć mknącemu niczym pomiar długu publicznego licznikowi widocznemu na witrynie Cisco liczba podłączonych urządzeń przekroczyła już 12 miliardów. Stale malejący koszt połączeń, zwiększająca się liczba rzeczy wyposażanych w interfejs sieciowy oraz bardzo szybko rosnąca liczba bezpośrednich połączeń sieciowych pomiędzy sprzętem (M2M – machine to machine connections) oznacza, że ilość połączonych obiektów będzie rosnąć coraz szybciej. Eksperci Cisco szacują, że w 2020 roku pojęcie „Internet of Things” będzie dotyczyć ponad 50 miliardów urządzeń, co – to ciekawe porównanie – ma stanowić 2,7% wszystkich produktów wytworzonych przez naszą cywilizację.

Zobacz również:

Internet przedmiotów, a bezpieczeństwo

Dynamicznie rozwijająca się liczba połączeń realizowanych z pominięciem bezpośredniego udziału człowieka oznacza mniejszą kontrolę nad danymi przesyłanymi w trakcie tych połączeń. Zupełnie inaczej użytkownik podchodzi do przesyłu danych zainicjowanego przez niego (np. wysłanie zadania na drukarkę sieciową, przesłanie poufnej korespondencji, wysłanie dokumentów do kontrahentów, współtworzenie prezentacji w sieci itp.), a inaczej, gdy w grę wchodzi np. synchronizacja danych dotyczących temperatury powietrza realizowana pomiędzy aplikacją pogodową zainstalowaną w smartfonie a usieciowionymi termostatami inteligencji budynkowej odpowiedzialnymi za regulację temperatury w określonych pomieszczeniach. Sęk w tym, że od strony technicznej w obu przypadkach mamy do czynienia z transmisją danych. Co prawda kwestia jakie to są dane, teoretycznie jest zdeterminowana funkcjonalnością danych urządzeń i stawianymi im zadaniami, ale wobec stosowania niemal w każdym przypadku otwartego stosu protokołów TCP/IP sytuacja, kiedy potencjalny agresor może wykorzystać z pozoru niewinne, usieciowione urządzenie do infiltracji sieci i kradzieży danych jest jak najbardziej możliwa.