Ciemna strona IoT

Marcin Sikorski, 6 lutego 2019

Ilekroć poruszam temat Internetu Rzeczy zawsze pada pytanie dotyczące tego jak bardzo bezpieczna jest to technologia oraz czy można jej zaufać. Jest to ciekawa wątpliwość w czasach gdy media pieją z zachwytu nad potencjałem IoT zagłuszając przy tym logikę oraz zdrowy rozsądek.

Weszliśmy w erę, w której wszyscy dyskutują oraz mówią o Internecie Rzeczy. Wszyscy są zachwyceni możliwościami oraz usprawnieniami, które niesie ze sobą wdrożenie tej technologii nadając jej charakter technologicznego renesansu.

Sektory bankowe, publiczne, turystyczne, energetyczne, medyczne; inteligentne miasta, domy fabryki i biura – wszyscy mamy wpisać się w IoT, które na nowo definiuje ramy jutra. Inteligentne systemy będą monitorować i kontrolować zużycie energii. Transport stanie się na nowo ekscytujący i bezpieczniejszy jak nigdy przedtem. Analiza danych będzie efektywna i satysfakcjonująca. Robotyka oraz cyfryzacja uwolnią zasoby ludzkie do bardziej kreatywnych zadań. Środowisko będzie bezpieczne, ekologiczne i wolne od rutyny, zaś sensory i aktuatory zautomatyzują przaśność codzienności.

Sęk w tym, że w tym całym szaleństwie zapomina się o dwóch aspektach – bezpieczeństwie i technologicznej higienie rozwiązań.

Zastanówmy się bowiem jak przy takim zróżnicowaniu urządzeń oraz ogromie technologii, protokołów i komunikacji użytkownicy Internetu Rzeczy wzrośnie zagrożenie szeregiem ataków.

Zaczynając od przejęcia pojazdu lub maszyny, których zachowaniem można manipulować, poprzez zaciemnianie/przekłamywanie danymi np. w obszarze zdrowia i medycznych urządzeń. Od pozbawienia dopływu energii elektrycznej, czyniąc produkt bezużytecznym, po ataki DDoS na produkty przetwarzające krytyczne dane. Nie zapominajmy także o kradzieży e-tożsamości czy nieautoryzowanych wyciekach prywatnych danych. A co ze śledzeniem i monitorowaniem jednostek i ich zachowania lub manipulacją wirtualnymi finansami? Przykłady można mnożyć choć w centrum każdego problemu znajdziemy niedostatecznie zabezpieczone gigantyczne wolumeny cennych danych.

IOT w służbie rządów

O ile jest to widoczny i znaczący problem, który powinien być poruszany ilekroć pada magiczna fraza „Internet Rzeczy”, dużo bardziej niepokojące są dla mnie przypadki kiedy tego typu zachowania i wykorzystywanie nieszczelności systemu przestaje być domeną domorosłych hakerów lecz staje się świadomą częścią rządowych działań.

Weźmy za przykład Chiny oraz prefekturę XinJiang, w której Internet Rzeczy został zaadaptowany na skalę dotychczas niespotykaną czyniąc ten teren Orwellowską fantazją i spełnieniem marzeń.

Teren o którym mowa to strategiczne terytorium na drodze jedwabnego szlaku 2.0, na którym znajdują się gigantyczne ilości zasobów naturalnych (ropa, węgiel, minerały), a który okupowany jest przez zróżnicowaną i wielokulturową społeczność emigrantów. Problem w tym, że ten autonomiczny zakątek jest również miejscem zapalnym wielu konfliktów zapoczątkowanych przez tendencje separatystyczne oraz radykalny islamizm. Ciężko jednak o pokój kiedy w tyglu miesza się sąsiedztwo Tybetu, Mongolii, Rosji, Kazachstanu, Kirgistanu, Tadżykistanu, Afganistanu oraz Pakistanu.

W związku z rosnącą falą przemocy i niekontrolowanych ataków Chen Quanguo – wysoko postawiony polityk oraz sekretarz Komunistycznej Partii Chin – postanowił przywrócić spokój na tym terenie za sprawą nowej polityki bezpieczeństwa, w której centrum znalazł się Internet Rzeczy.

Nastąpiła wzmożona adaptacja sensorów, kamer, beaconów oraz innych elektronicznych produktów, które umożliwiałaby bezpośrednią identyfikację oraz monitoring obywateli. Zaadaptowano elektroniczny system porównujący i przyporządkowujący (z ~90% prawdopodobieństwem) twarze obywateli (do tego celu wykorzystano państwową bazę danych dowodów osobistych). Zaczęto baczniej obserwować częstotliwość i rodzaj komunikacji internetowej. Nastąpiła również wzmożona akcja dotycząca wydawania i śledzenia „potencjalnie niebezpiecznych” produktów (zarówno elektronicznych jak i zwyczajnych pokroju noży, tasaków, młotków etc). gdzie za sprawą wypalanego na obudowie produktu kodu QR zaszyto dane osobiste właściciela, żeby łatwiej identyfikować jednostki.

Do tego wspomniany system monitoringu działa jako semi-inteligentny ekosystem (za sprawą sieci neuronowych i Machine Learning), w którym rola człowieka została sprowadzona do absolutnego minimum przez co całość jest autonomiczna i niezależna od zasobów i czynników ludzkich.

Rating obywateli – to już nie jest science-fiction

W tym całym szale inwigilacji chodzi nie tylko o wiedzę gdzie się znajduje dany obywatel lecz również co robi. Nadrzędnym celem działań rządu jest wprowadzenie tzw. „aspektu punktowego”, w którym obywatele „szacowani” są za pomocą swoich codziennych czynności, tego gdzie się znajdują lub co mówią. Na tej bazie utworzono system ratingu, w którym zachowania negatywne „obniżają Cię” do klasy E, zaś zachowania pozytywne, pokroju posłuszeństwa, podnoszą wartość do rangi „AAA”. Niesie to za sobą konsekwencje m.in. zmian wysokości stawek procentowych w bankach, dostępu do paszportu oraz łatwości nabywania mieszkań lub ziemi.

Szaleństwo? Być może ale stało się ono możliwe właśnie za sprawą IoT.

Rodzi to jednak pole do interesującej interpretacji tego dokąd zmierza sam Internet Rzeczy. Szczególnie w obliczu swej technologicznej niedojrzałości. Jak wiele systemów IoT jest nadal niedostatecznie dobrze zaprojektowanych. Sama branża ma problemy ze stworzeniem prawidłowych procesów biznesowych oraz ustaleniem uniwersalnego cyklu życia produktu. Standardy dotyczące autentykacji lub czystego kodu nadal są w powijakach, a audyty przeprowadzane pod kątem UX lub obsługi danych są wciąż niezadowalające.

Jak zawsze nie należy generalizować ale odczuwam pewne obawy ilekroć poruszany jest temat IoT jako złotego środka na wszelkie problemy świata. Remedium, które ma zrewolucjonizować nasze życie. Nawet gdyby tak miało być to ile jesteśmy w stanie poświęcić dla wygody życia? Chiny zapowiedziały, że do końca 2025 wprowadzą swój system punktowy na terenie całego kraju. Inne państwa również rozważają taką koncepcję choć póki co jedynie eksperymentalnie.

Co wydarzy się później pozostaje nadal niewiadomą.


Tematy: iotbezpieczeństwo
Napisano w: Opinie
Zapisz się przez RSS
comments powered by Disqus