Internet vecí – nepodceňujte jeho riziká

S nástupom internetu vecí, pre ktorý sa vžila skratka IoT (Internet of Things), pribudli miliardy rozličných zariadení a senzorov schopných pripojiť sa na internet a šíriť, prípadne si medzi sebou vymieňať dáta. Navyše tieto zariadenia v čoraz väčšej miere fungujú „bez dozoru“, teda autonómne alebo poloautonómne.

Dnes je ich podľa spoločnosti Statista približne 23 miliárd, v roku 2025 by ich však malo byť už viac než 75 miliárd. A medzi nimi je aj veľa zariadení, ktoré zbierajú a archivujú citlivé údaje, väčšina z nich je pritom chránená minimálne alebo vôbec.  Ilustrujme si to na jednej konkrétnej oblasti, ktorá sa týka každého z nás – je ňou zdravie a zdravotnícke pomôcky.

Koncom roku 2016 spoločnosť Johnson & Johnson informovala pacientov, že na jednom z modelov ich inzulínových púmp bola objavená bezpečnostná diera umožňujúca hekerom ovládnuť zariadenie a pacienta predávkovať
inzulínom. Pumpa však nebola
pripojená na internet, útočník sa musel nachádzať v jej bezprostrednej blízkosti.

Išlo o historicky prvý prípad, keď samotný výrobca medicínskych zariadení varoval pacientov pred rizikom ich softvérového zneužitia. Išlo o pumpu OneTouch Ping, v čase odhalenia problému ju v USA a Kanade využívalo približne 120-tisíc pacientov, pričom nezaznamenali žiaden reálny bezpečnostný incident.

Podobný problém sa vyskytol na modeli Animas OneTouch Ping s bezdrôtovým diaľkovým ovládačom, pričom bezpečnostní experti dokázali ovládnuť nešifrovanú komunikáciu medzi pumpou a ovládačom na vzdialenosť takmer desať metrov tak, že bolo možné aplikovať neautorizovanú inzulínovú injekciu. Približne v rovnakom čase o tom informoval Jay Radcliffe z bezpečnostnej firmy Rapid7 Inc.

Rovnako sa podarilo hekerom na diaľku ovládnuť automatické infúzne pumpy od spoločnosti Hospira a ľubovoľne v nich meniť dávkovanie látok. O tomto prípade v roku 2015 oficiálne informoval americký Úrad na kontrolu
potravín a liečiv (FDA). Ten v septembri tohto roku varoval aj pred kritickými bezpečnostnými chybami pri
infúznej pumpe Medfusion 4000 Wireless Syringe od spoločnosti Smith Medical. Cez ňu hekeri dokázali nastaviť dávkovanie tak, že v realite by to pacienta zabilo. Vážnych bezpečnostných dier našli hneď osem.

Zanedbaná bezpečnosť nositeľnej elektroniky vedie k niektorým novým fenoménom – napríklad k zvolávacím akciám, aké poznáme skôr z automobilového priemyslu. Jedna veľká sa konala v roku 2017 v zámorí a týkala sa približne pol milióna pacientov, ktorí majú zabudovaný niektorý zo šiestich modelov kardiostimulátorov od spoločnosti Abbott, vyrobených pred augustom 2017.

Zistená bezpečnostná diera umožňovala hekerom vybiť ich batériu alebo meniť rytmus srdca pacienta. Preto všetci musia opätovne navštíviť nemocnicu. Dobrá správa je, že kardio-stimulátory nebolo potrebné z tela vybrať, stačila aktualizácia firmvéru, ktorá trvala približne tri minúty.

Tieto príklady uvádzame preto, lebo názorne ukazujú, ako sa podcenenie bezpečnosti internetu vecí môže dotknúť každého z nás – mnohí to totiž pokladajú stále za teoretický problém, ktorý prakticky nijako nezasahuje do nášho života. Vyššie uvedené príklady ale ukazujú, že do neho môže zasiahnuť úplne zásadným spôsobom. Preto treba zisťovať pri každej veci, ktorá sa pripája na internet, alebo dokáže sama komunikovať s iným zariadeniami, ako je to s jej bezpečnosťou, či aplikácia, ktorou sa ovláda, nevyžaduje nadštandardné povolenia, alebo nevyužíva príliš zjednodušené heslá, či je komunikácia šifrovaná a podobne. Pri počítačoch, smartfónoch, tabletoch a podobných zariadeniach sme už bezpečnosť prestali dávno brať na ľahkú váhu, no internet vecí na mnohých pôsobí neškodne  a vyzerá ako okrajová záležitosť, opak je v však v skutočnosti pravdou. S množstvom benefitov, ktoré prináša, prichádza aj množstvo rizík, ktoré ešte stále sú až príliš podceňované.

 

(mk)