Czy można napaść na kasyno z użyciem… termometru do akwarium?
Można, i nie jest to element fabuły kolejnego filmu ze znanej serii kinowej.
W 2018 r. miał miejsce jeden z najbardziej spektakularnych ataków z wykorzystaniem urządzenia IoT. Przestępcy ukradli cenną bazę danych, wykorzystując lukę w sieci jednego z kasyn, a dokładnie termometr w akwarium, które stało w lobby budynku. Termometr w zbiorniku pełnym egzotycznych i wrażliwych na zmianę temperatury rybek był podłączony do sieci w celu stałego monitorowania warunków życia w akwarium. Urządzenie było bardzo słabo zabezpieczone przed dostępem z zewnątrz, dawało jednak dostęp do wielu wrażliwych danych firmy umieszczonych w chmurze…
Internet Rzeczy (IoT) przekształca nasz świat w niespotykany dotąd sposób, wprowadzając inteligencję i łączność do codziennych przedmiotów, od lodówek po zegarki, od samochodów po klimatyzatory. Jednak z tą innowacją przychodzi również zwiększone ryzyko. Urządzenia te stały się istotnymi celami dla cyberprzestępców, którzy mogą wykorzystać je do tworzenia botnetów do ataków DDoS (blokujących w praktyce dostęp do jakichś zasobów na serwerach), prowadzenia spoofingu DNS (podszywanie się pod konkretny adres w sieci), wydobywania kryptowalut i wielu innych działań, w tym tradycyjnych przestępstw, jak oszustwa i kradzieże.
Dlaczego tak się dzieje?
Dlatego że w większości przypadków producenci niemal w ogóle nie przewidują możliwości aktualizacji działających w sieci urządzeń IoT, a tym samym pozostawiają przestępcom szeroko otwarte drzwi. Według danych Fortiguard Labs w 2022 r. doszło do ponad 20 mln ataków na taki sprzęt. W większości źródłem tych zagrożeń były adresy IP z Chin (30 proc.), USA (10 proc.) i Korei Południowej (9 proc.). Dla porównania dodajmy, że obecnie na świecie jest ok. 20 mld urządzeń typu IoT podłączonych do sieci, a do 2030 r. ta liczba ma wzrosnąć o kolejne 10 mld.
Słabe zabezpieczenia technologii IoT wynikają z nacisku na natychmiastowe wyniki i redukcję kosztów podczas produkcji, co prowadzi do braku szyfrowania i odpowiedniej autentykacji. Producenci często spieszą się z wprowadzeniem niedojrzałych produktów, ale wina leży też po stronie administratorów i użytkowników, którzy podłączają te urządzenia do własnych sieci, podając często bezrefleksyjnie choćby hasła dostępu do firmowej sieci Wi-Fi, co cyberprzestępcom w zupełności wystarczy.
Jak się bronić?
Ochrona urządzeń IoT nie jest prosta i wymaga kompleksowego podejścia. Kluczowe sprawy to regularne aktualizacje oprogramowania, ograniczanie dostępu do konkretnych sieci dla urządzeń IoT i oczywiście ciągłe monitorowanie infrastruktury. Niezwykle ważna jest ocena całego ekosystemu IoT, identyfikacja podatności np. za pomocą testów penetracyjnych czy symulowanych ataków.
Kompleksowość podejścia do ochrony przed atakami na urządzenia IoT wymaga całościowej strategii cyberbezpieczeństwa i wielowarstwowych systemów ochronnych, dbających o zabezpieczenie zarówno na poziomie technologii, jak i możliwych błędów człowieka. Tu potrzebny jest cały wachlarz zabezpieczeń, od takich, które monitorują konkretne urządzenia po takie, które odpowiadają za szeroką kontrolę zdarzeń na poziomie całej organizacji i jej otoczenia.
W takich przypadkach dobrze sprawdzają się rozwiązania takie jak usługi dostarczane przez T-Mobile, który występuje nie tylko jako dostawca telekomunikacyjny, ale też firma zajmująca się przechowywaniem i zabezpieczeniem danych oraz – co w tym przypadku najbardziej istotne – dostarcza różnorodnych rozwiązań w zakresie cyberodporności.
Zidentyfikuj, zabezpiecz, obroń
T-Mobile wykorzystuje model IPD (Identify-Protect-Defend) zgodnie z założeniem, że w dziedzinie cyberbezpieczeństwa należy właśnie działać całościowo.
W identyfikacji zagrożeń istotne znaczenie ma działanie Security Operations Center. To jedno z kilkunastu na świecie centrów operacyjnych T-Mobile, które działa przez 24 godziny na dobę, a w którym eksperci z zakresu cyberbezpieczeństwa przy wsparciu najnowocześniejszej technologii stale monitorują to, co się dzieje w sieci. Ich głównym zadaniem jest wykrywanie cyberincydentów, ale przeprowadzają też np. audyty bezpieczeństwa, co jest pierwszym krokiem w kierunku wyeliminowania zagrożeń płynących z niezabezpieczonych urządzeń IoT.
Sztuczny ruch, generowany przez sieci botnet (z wykorzystaniem m.in. urządzeń IoT), jest blokowany dzięki usłudze AntyDDOS. Gwarantuje nieprzerwaną ochronę witryn internetowych i zapewnia ich stałą dostępność.
Warto też wspomnieć o usłudze Cyber Guard, czyli autorskim i unikalnym rozwiązaniu T-Mobile, które umożliwia ochronę urządzeń mobilnych (wyposażonych w karty SIM od T-Mobile) przed złośliwym oprogramowaniem, phishingiem i wyciekiem danych. W tym kontekście istotne jest też właściwe zarządzanie takimi urządzeniami, co zapewnia usługa MDM – Mobile Device Management, umożliwiająca kontrolę i decydowanie o tym, jak pracownicy z nich korzystają.
Ochronę firmowych danych wspiera usługa Cloud Security, pozwalająca na zabezpieczenie zarówno na poziomie sieciowym, jak i urządzeń końcowych, na których można zainstalować agenta aplikacyjnego. W połączeniu z E-Mail Protection buduje bastion chroniący przed spamem i phishingiem, a także zapewniający wielowarstwową ochronę antywirusową. Tworzy też awaryjną skrzynkę odbiorczą, dzięki czemu dostęp do firmowych e-maili jest zawsze zapewniony.
Fundamentem tego całego kompleksu usług jest Zarządzany Firewall jako podstawowy element bezpieczeństwa sieci, który powinien być stosowany w każdej firmie. Utrzymaniem i zarządzaniem usługą zajmują się specjaliści T-Mobile, którzy monitorują jego pracę przez 24 godziny na dobę.
Nie ma bezpiecznych systemów
Jednym z najbardziej niesławnych naruszeń bezpieczeństwa IoT był botnet Mirai, który w 2016 r. zaatakował dostawcę usług Dyn, blokując dostęp do wielu witryn, w tym tych, na których działa Netflix, Twitter, Reddit, The Guardian czy CNN. Botnet dokonał ataku przez niemal 150 tys. rejestratorów wideo i kamer IP, wykorzystując ich słabe zabezpieczenia.
Od tego czasu minęło kilka lat, ale zagrożenie jest wciąż aktualne, bo haker, który dokonał tego włamania, opublikował kod, z którego mogą korzystać teraz kolejni przestępcy.
Takie przykłady można mnożyć – wykradzenie danych kart kredytowych z wykorzystaniem czujników monitorujących zużycie energii, przejęcie kontroli nad samochodem za pomocą jego systemu multimedialnego czy jeszcze większe zagrożenia, jak możliwość zhackowania wszczepionych rozruszników serca (tu na szczęście do ataku nie doszło, firma dostarczająca urządzenia przeprowadziła aktualizację, ale niebezpieczeństwo było bardzo realne).
Podobne zdarzenia to norma w świecie IT. Właśnie dlatego coraz popularniejszym podejściem do bezpieczeństwa jest budowanie cyberodporności, co oznacza nie tylko zdolność systemu do skutecznego reagowania na incydenty bezpieczeństwa, ale też minimalizowania ich skutków oraz szybkiego powrotu do normalnego funkcjonowania po ataku.
W praktyce oznacza to, że potrzebne są nie tylko wielowarstwowe zabezpieczenia chroniące przed atakiem, ale i strategia, jak poradzić sobie po ataku. W takich sytuacjach najlepiej sprawdzają się rozwiązania kompleksowe, dostarczane przez jednego dostawcę, takiego jak T-Mobile, który jest nie tylko dostawcą telekomunikacyjnym, ale też firmą zajmującą się przechowywaniem i zabezpieczeniem danych oraz dostarczaniem różnorodnych rozwiązań w zakresie cyberodporności.
Cyberbezpieczeństwo to więc nie tylko kwestia technologii, ale również strategii i odpowiedniego podejścia. W obliczu rosnących zagrożeń kluczowe jest zrozumienie, że choć nie ma systemów nie do złamania, to można cyberprzestępcom mocno utrudnić pracę, a jednocześnie przygotować się na skuteczne działanie już po tym, jak atak się powiedzie. Bo – jak mówią specjaliści ds. cyberbezpieczeństwa – jest to tylko kwestia czasu…
Płatna współpraca z marką T-Mobile
