Očekuje se da će do 2020. godine najmanje 20 milijardi uređaja biti povezano na internet, a IoT uređaji su napravljeni kako bi ispunili ta očekivanja. Internet of Things (IoT) predstavlja grupu stvari (uređaja ili objekata) koji su dizajnirani/napravljeni s ciljem upravljanja i pružanja informacija bežičnom vezom putem interneta, uz korištenje najčešće mobilne aplikacije za nadzor ili upravljanje. Iako ima mnogo nesporno pozitivnih efekata, prijetnje i rizik koji se odnose na IoT uređaje su raznovrsni i brzo se razvijaju. Iz tog razloga, ENISA i Europol su udružili snage kako bi se suočili sa ovim sigurnosnim problemom, te su 18. i 19. oktobra 2017. godine organizovali dvodnevnu konferenciju na kojoj je prisustvovalo više od 250 učesnika iz privatnog i sigurnosnog sektora, sigurnosnih agencija, komunikacijskih timova za odgovor na incidente kompjuterske sigurnosti (CSIRT) i akademske zajednice.
Internet stvari je širok i raznovrstan ekosistem gdje međusobno povezani uređaji prikupljaju, razmjenjuju i obrađuju podatke kako bi se dinamički prilagodili kontekstu. Jednostavnije rečeno, IoT čini naše kamere, televizore, mašine za pranje i grijanje “pametnim”, tako što stvaraju nove mogućnosti kako bi se prilagodile za što lakši rad i komunikaciju između korisnika i uređaja.
Važno je razumjeti kako se ovi povezani uređaji trebaju osigurati, te sprovesti adekvatne sigurnosne mjere kako bi zaštitili Internet stvari od cyber prijetnji. Pored tehničkih mjera, usvajanje IoT uređaja je pokrenulo mnoge nove pravne, političke i regulatorne izazove. U cilju rješavanja ovih izazova, neophodna je saradnja između različitih sektora i različitih zainteresovanih strana.
Rizik za nezaštićene IoT uređaje, koji mogu biti ugroženi od strane “naoružanih” kriminalaca već je identifikovan u izdanjima Europolove procjene ugroženosti od organizovanog kriminala za 2014. i 2015. godinu, a takođe i u izvještaju ENISA-e iz 2016.godine. Problem je postao realnost krajem 2016. godine kada se desilo nekoliko DDoS napada sa botnet Mirai. Botnet predstavlja mrežu računara koji su zaraženi virusom i koje hakeri mogu kontrolisati sa udaljene lokacije u svrhu napada i sličnih aktivnosti. Pretpostavlja se da će cyber-kriminalci razviti nove varijante i povećati raznovrsnost IoT uređaja pogođenih ovom vrstom malvera.
Ova zajednička Europol-ENISA konferencija, prva na ovu temu, pružila je priliku svim relevantnim,zainteresovanim, stranama da se sastanu i razgovaraju o izazovima sa kojima se susreću, te da identifikuju moguća rješenja na osnovu postojećih inicijativa i pravnih okvira. Specifični fokus je bio uloga sigurnosnih agencija u odgovoru na nezakonitu upotrebu IoT-a.
Dvodnevni sastanak je svjedočanstvo spremnosti svih relevantnih međunarodnih aktera da osiguraju da se mnoge koristi IoT-a mogu u potpunosti uživati zajedničkim rješavanjem sigurosnih problema i borbom protiv nezakonitih zloupotreba takvih uređaja, u krajnjoj liniji čineći cyber prostor sigurnijim mjestom za sve.
“Revolucija IoT počinje da transformiše naše živote i infrastrukture koje redovno koristimo, kao što su pametne kuće, pametna energija i dr. Proizvođači i operateri ovih uređaja moraju osigurati da sigurnost bude uključena u njihovo kreiranje i njihovu primjenu. ENISA je zadovoljna što blisko sarađuje sa Europolom kako bi informirala ključne zainteresovane strane o važnoj ulozi koju imaju IoT uređaji i potrebu da budu upoznati sa cyber sigurnošću i kriminalnim aspektima vezanim za primjenu i korištenje ovih uređaja”, izjavio je izvršni direktor ENISA prof. Dr. Udo Helmbrecht.
Realizovana dvodnevna konferencija rezultirala je sljedećim preporukama i zaključcima:
- Potreba za boljom saradnjom i angažovanjem više zainteresovanih strana u cilju poboljšanja interoperabilnosti, kao i pitanja sigurnosti, posebno u svjetlu novih inovacija kao što su industrija 4.0, autonomna vozila i pojavljivanje 5G tehnologije.
- S obzirom na to da je osiguranje krajnjeg uređaja često tehnički teško i skupo, fokus bi trebao biti osiguranje osnovne infrastrukture, stvarajući povjerenje i sigurnost u različitim mrežama i domenima.
- Potreba za stvaranjem jačih podsticaja za rješavanje sigurnosnih problema vezanih za IoT. To zahtijeva postizanje optimalnog balansa između mogućnosti i rizika na tržištu gdje dominira visoka skalabilnost i kratko trajanje na tržištu, pozicioniranje sigurnosti kao posebne komercijalne prednosti i stavljanje u srce procesa dizajna i razvoja.
- Za efikasnu istragu krivične zloupotrebe IoT-a, odvraćanje je još jedna dimenzija za koju je potrebna snažna saradnja između policije, CSIRT i zajednice sigurnosti, kao i pravosuđa. Ovo stvara hitnu potrebu za sprovođenje zakona radi razvijanja tehničkih vještina i stručnosti za uspješno suzbijanje cyber kriminala vezanih za IoT.
- Ovi pokušaji moraju biti dopunjeni podizanjem svijesti krajnjih korisnika o sigurnosnim rizicima IoT uređaja.
- Širenje postojećih inicijativa i okvira, višestruki pristup koji kombinira i dopunjuje aktivnosti u zakonodavstvu, regulaciji i politici, standardizaciji, certifikaciji/obilježavanju i tehničkom nivou je neophodan kako bi se osigurao ekosistem IoT-a.
- Jedno od ključnih opservacija konferencije je primarna važnost dobre prakse u rješavanju ovih IoT sigurosnih problema. U narednim mjesecima ENISA će objaviti svoj “Priručnik preporuke za sigurnost IoT-a”.
Nakon usvojenih zaključaka izvršni direktor Europola Rob Wainwright je izjavio: “Cyber kriminalci se brzo prilagođavaju novim tehnologijama i iskorištavaju nove načine da utiču na živote ljudi i napadnu njihovu privatnost, bilo prikupljanjem ili manipulacijom ličnih podataka ili virtuelnim upadanjem u “pametne” domove. Za Internet stvari se očekuje da će se značajno proširiti, jer se sve više i više domaćinstava, gradova i industrija povezuju. Nezaštićeni IoT uređaji sve više postaju alati za sprovođenje cyber kriminala. Moramo djelovati i raditi zajedno kako bismo riješili sigurosne probleme koji dolaze sa IoT-om i kako bi se osigurao potpuni potencijal”.
