Jak dać odpór hakerom

Analitycy z branży zabezpieczeń teleinformatycznych zgodnie zwracają uwagę, że cyberprzestępcy wciąż starają się odkryć i wykorzystać wpisane luki bezpieczeństwa w systemach komputerowych infrastruktury krytycznej, co jest ogromnym potencjalnym zagrożeniem. Przykładami tego typu działań są choćby atak malware na ukraińską spółkę energetyczną, atak DDoS (atak na system komputerowy w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów) na linie lotnicze LOT czy naruszanie systemów SCADA (system informatyczny nadzorujący przebieg procesu technologicznego) zapory Bowmana w stanie Nowy Jork.

Tego nie można pominąć

Dlatego też planując inwestycje w rozwiązania smart city, nie można zapominać o cyberbezpieczeństwie wybieranych inteligentnych rozwiązań. Reguła jest bowiem taka, że im więcej technologii informatycznych uczestniczy w tworzeniu i funkcjonowaniu miasta, tym większe jest ryzyko hakerskiego ataku.

Maciej Kocięcki, dyrektor Rozwoju i Zarządzania M2M i IoT w Orange Polska, podkreśla, że nie istnieje schemat, który należałoby powielać w każdej jednostce samorządowej. Z jego doświadczeń wynika, że dla niektórych gmin priorytetem będzie zbudowanie efektywnej infrastruktury sieciowej, którą połączy poszczególne placówki. Inne, będące o krok dalej, będą zainteresowane wdrażaniem usług związanych z lepszym zarządzaniem takimi zasobami, jak woda, energia czy gospodarka komunalna. Miasta, w których największym problemem jest zatłoczenie ulic, zainteresują się systemami do zarządzania ruchem miejskim, oświetleniem ulicznym lub parkingami. Z kolei te aglomeracje, które chcą zwiększyć zaangażowanie mieszkańców w rozwój przestrzeni miejskiej, podejmą się budowy centrów kontaktu z mieszkańcami i inwestycji w usługi, jak np. Jeden Numer.

- Wszyscy powinni pamiętać o bezpieczeństwie teleinformatycznym. Te jednostki, które korzystają z zaawansowanych technologii, są już cyfrowe, będą myślały o wdrożeniach systemów chroniących przed cyberzagrożeniami - mówi Maciej Kocięcki.

Pouczający eksperyment

A że włamanie do takiego systemu wcale nie musi być takie trudne, udowodniła w ubiegłym roku firma Kasperksy Lab, której ekspert przeprowadził badanie mające na celu ocenę bezpieczeństwa w infrastrukturze transportowej inteligentnego miasta. Badanie przeprowadzone przez eksperta z Kaspersky Lab objęło sieć czujników, które gromadzą informacje o liczbie pojazdów na drodze, ich typie oraz średniej prędkości. Takie właśnie informacje są przesyłane do centrum zarządzania władz miasta. Trafiają do urzędu odpowiedzialnego za ruch drogowy i są wykorzystywane do wspierania oraz aktualizacji mapy ruchu drogowego w czasie rzeczywistym. Mapa ta z kolei może służyć jako źródło danych wykorzystywanych w budowie systemu dróg miejskich czy nawet automatyzacji obsługi systemu sygnalizacji świetlnej.

Wyniki badania są niepokojące - dane rejestrowane i przetwarzane przez takie czujniki mogą zostać w znacznym stopniu zmodyfikowane przez osoby trzecie, co może stwarzać problemy w rozwoju infrastruktury drogowej.

Pierwszym problemem dotyczącym bezpieczeństwa, jaki wykrył badacz, była widoczność nazwy producenta na obudowie czujnika. Pomogło to ekspertowi z Kaspersky Lab znaleźć online więcej danych o sposobie działania urządzenia, wykorzystywanego oprogramowania itd. Badacz odkrył, że oprogramowanie wykorzystywane do interakcji z czujnikiem, jak również dokumentacja techniczna, były dostępne na stronie internetowej producenta. Dokumentacja ta jasno precyzowała, jakie polecenia mogą zostać wysłane do urządzenia przez osobę trzecią.

Przechodząc obok urządzenia, badacz był w stanie uzyskać do niego dostęp za pośrednictwem technologii Bluetooth, ponieważ nie został zastosowany żaden niezawodny proces uwierzytelnienia. W ten sposób z czujnikiem drogowym mógł połączyć się każdy, kto dysponuje urządzeniem z technologią Bluetooth oraz oprogramowaniem do łamania haseł poprzez testowanie poszczególnych kombinacji (tzw. metoda siłowa).

Przy użyciu oprogramowania i dokumentacji technicznej badacz mógł obserwować wszystkie dane gromadzone przez urządzenie. Był w stanie zmodyfikować sposób, w jaki czujnik gromadzi nowe informacje. Mógł np. zmienić rodzaj zarejestrowanego pojazdu z samochodu osobowego na ciężarówkę lub średnią prędkość ruchu. W rezultacie wszystkie nowo zebrane dane były nieprawdziwe i nie odzwierciedlały potrzeb miasta. W dłuższej perspektywie dostęp do takich danych może też prowadzić wręcz do sabotowania funkcjonowania miasta.

Ważne zalecenia

Na tej podstawie eksperci z Kaspersky Lab przygotowali kilka zaleceń bezpieczeństwa, które pomogą zapobiec cyberatakowi na urządzenia infrastruktury transportowej. Po pierwsze, należy usunąć lub ukryć nazwę producenta na obudowie urządzenia, ponieważ tego typu informacje mogą ułatwić przestępcy dokonanie rozpoznania poprzedzającego atak. Pod drugie, jeśli jest to możliwe, należy zmieniać nazwy domyślne urządzeń, a także ukrywać ich identyfikatory i adresy sieciowe. Po trzecie, trzeba stosować uwierzytelnienie dwuskładnikowe na urządzeniach z technologią Bluetooth i zabezpieczyć dostęp do nich za pomocą mocnych haseł. I po czwarte, należy współpracować z badaczami ds. bezpieczeństwa w celu wykrywania i usuwania luk w zabezpieczeniach urządzeń oraz obsługujących je systemów.

Dla miast szczególne znaczenie ma zachowanie autonomii w zakresie własnej infrastruktury sieciowej. Systemy muszą stabilnie funkcjonować również w przypadku awarii sieci. Każdy, najmniejszy nawet komponent rozwiązań z obszaru inteligentnego miasta musi zostać odpowiednio zabezpieczony - od aplikacji uruchamianych na inteligentnych urządzeniach aż po sieci komunikacyjne i serwery. Konieczne jest prowadzenie w trybie ciągłym identyfikacji i oceny czynników ryzyka. Czynności takie obejmują między innymi określanie prawdopodobieństwa ataków i szacowanie ewentualnych strat, jakie mogłyby powstać na ich skutek. Należy również wdrożyć odpowiednie mechanizmy wykrywania i zapobiegania atakom.

Trzeba też pamiętać, że zbieranie informacji pochodzących z inteligentnych budynków, usieciowionych systemów kierowania ruchem ulicznym i monitoringu wideo nie może prowadzić do naruszenia prywatności mieszkańców.

Eksperci apelują o integrację mechanizmów ochrony danych osobowych już na etapie opracowywania aplikacji, zgodnie z zasadą domyślnej ochrony prywatności (Privacy by Design). Połączone rozwiązania mogą liczyć na powszechną akceptację wyłącznie wtedy, gdy zapewnią możliwie najwyższy poziom przejrzystości w zakresie gromadzenia danych przy jednoczesnym zabezpieczeniu anonimowości uczestników.

Potrzeba współpracy

Ponieważ problem jest poważny, wystartowała globalna inicjatywa non profit - Securing Smart Cities. Jej celem jest rozwiązywanie obecnych i przyszłych problemów dotyczących cyberbezpieczeństwa inteligentnych miast poprzez współpracę i wymianę informacji pomiędzy organizacjami. Akcja jest popierana przez czołowych badaczy z branży bezpieczeństwa IT, w tym IOActive, Kaspersky Lab, Bastille oraz Cloud Security Alliance. Securing Smart Cities ma służyć jako węzeł komunikacyjny między firmami, rządami, mediami, inicjatywami non profit oraz osobami fizycznymi na całym świecie zaangażowanymi w tworzenie, udoskonalanie oraz promowanie inteligentnych i bezpiecznych technologii dla współczesnych miast.

- Cyberbezpieczeństwo współczesnego inteligentnego miasta nie jest kwestią, którą można rozwiązać prosto i szybko. Koncepcja ta obejmuje tak wiele różnych technologii, które komunikują się ze sobą w rozmaity sposób, że jedynym rozwiązaniem na przewidzenie i wyeliminowanie wszelkich potencjalnych problemów związanych z bezpieczeństwem jest współpraca między ekspertami z całego świata. To właśnie jest celem Securing Smart Cities - tłumaczy Cesar Cerrudo, dyrektor ds. IT w IOActive oraz członek zarządu Securing Smart Cities.

@RY1@i02/2017/032/i02.2017.032.21400030b.801.jpg@RY2@

Marek Jaślan