Nedavni globalni ransomware napad (virus kojim se blokira pristup računarskom sistemu dok se ne uplati zahtijevana suma novca), koji je utjecao na organizacije širom svijeta, uključujući britansku Nacionalnu zdravstvenu službu, bio je prva stvarna ilustracija za mnoge ljude o razmjeri i posljedicama koje bi mogli u budućnosti uzrokovati kibernetički napadi. Kriminalci (hakeri) iskoristili su manu u zastarjelom Microsoftovom softveru, koji se ne ažurira automatski, niti je zaštićen sigurnosnim mjerama, da zaraze računala s WannaCry ransomwareom.
Ali, šta ako su uređaji još ranjiviji i rade bez ugrađene sigurnosti i nemaju mogućnost da se poprave? To je problem koji predstavlja takozvani internet stvari (Interneg of Things – IOT). Sa procijenjenih 22,5 milijardi uređaja koji će biti povezani s internetom do 2021. godine, prilika za kontrolisanje ovih uređaja u svrhu otkupnine predstavit će značajne mogućnosti kriminalcima i imat će ozbiljne posljedice za kompanije koje proizvode i korisnike te uređaje.
Prošle godine, masivni DdoS cyber napad koji je onesposobi niz DNS (Domain Name System – sistem dodjeljivanja imena kompjuterima i serverima) sistema, ilustrirao je ranjivost određenih platformi na napade putem interneta. Tokom tog napada, počinitelji su uspjeli uskratiti pristup većim platformama poput Twittera, Netflixa i Facebooka na nekoliko sati. To je bilo omogućeno iskorištavanjem slabo zaštićenih kućnih uređaja, kao što su sigurnosne kamere i baby monitori koji su još uvijek imali izvornu, fabričku šifru ili su bili bez integrisanog sigurnosnog programa.
Ovaj je napad bio značajan i mnogo je koštao kompaniju Dyn, ali nije imao utjecaja na kritičnu infrastrukturu kao što su bolnice i ljekarske ordinacije na način kojim bi se uskratio pristup podacima o pacijentima, te tako odgoditi liječenje. No, IOT bi mogao uzrokovati daljnje značajne posljedice, kada čak i benigni predmeti mogu pretvoriti u oružje.
Prošle sedmice, 11-godišnji dječak pokazao je ranjivost IOT-u u kontekstu mogućeg pretvaranja u oružje. Naime, dječak je hakirao uređaje publike koja je učestvovala na konferenciji o cyber sigurnosti kako bi uspostavio kontrolu nad njegovom igračkom-medvjedom. Slično tome, ranije ove godine njemačke bezbjednosne agencije savjetovale su roditeljima da unište Cayla lutku zbog svoje dokazane ranjivosti da bude hakovane. Pametni termostati bili su takođe hakirani, kao i automobili, baby monitori i televizori.
Automobili bez vozača već se ispituju na ulicama i procjenjuje se da će na cestama do 2020. godine biti 10 miliona takvih vozila. Takvi automobili dio su tzv. Interneta automobilskih stvari (IoAT). Mreža senzora i računarskih procesa će, vjerovatno, smanjiti nesreće uzrokovane ljudskom greškom i u konačnici napraviti ceste sigurnijim mjestom. Oni će također, biti kvalitetnije dizajnirani u sigurnosnom smislu i bolje opremljeni kapacitetima za popravak i ažuriranje sigurnosnog softvera, ali neće biti nepropusni za hakovanje, jer ništa ustvari i nije. Zamislite da bi vaš automobil mogao biti učinkovito otet putem softvera pomoću kojeg radi, te ako hakeri mogli promijeniti vaše odredište, brzinu i smjer, ili jednostavno vas zaključati unutra.
Zapravo, postoje slični rizici i ranjivosti gdje se koristi senzori i softver, kako kaže stručnjak za sigurnost Bruce Schneier: “Više nemamo stvari sa kompjuterima ugrađenim u njih. Imamo računare sa stvarima vezanim za njih.“ Ovo uključuje sve veći broj kućanskih aparata, medicinskih uređaja, “pametnih gradova (smart cities)” u kojima javne usluge koriste tehnologiju u cilju poboljšanja efikasnosti i kvaliteta, kao i ključne nacionalne infrastrukture, kao što su elektroenergetske mreže i željeznički sistemi, piše Chatham House.
Iako postoje istraživanja koja se odnose na bezbjednosne implikacije IOT-a, mnogi uređaji su već na tržištu i u domovima ljudi. Čak i kada su zastarjeli i van upotrebe, senzori mogu i dalje predstavljati opasnost koju mogu iskoristiti oni koji žele da se probijaju u mrežne sisteme. Standardi za sigurnost trebaju se primjenjivati prije nego što se veliki broj hakovanja, koji imaju ozbiljnije posljedice za potrošača izvrši preko IOT-a. Ako se to dogodi, povjerenje javnosti u ovu privlačnu ekonomiju vjerovatno će biti potkopano.
Jedan pristup podizanju standarda u cyber sigurnosti je kroz industriju osiguranja. Firme kao što su QBE i AIG istražuju ulogu koju mogu imati u zaštiti potrošača i kompanija od kibernetičkih prijetnji, doprinoseći razvoju potrebne kulture cyber sigurnosti koja prestaje da daje prioritet pristupačnosti proizvoda nad sigurnošću. To podrazumijeva uvođenje cyber sigurnosti u svim aspektima i kroz sve slojeve poslovanja, industrije i usluga.
Vlade bi takođe mogle da igraju veću ulogu u regulisanju industrije i sprovođenju minimalnih sigurnosnih standarda. Bez snažnijeg pristupa za zaštitu IOT-a, posljedice će biti brojni sudski procesi, a odgovornost će biti utvrđena nakon što je šteta već načinjena.
Na kraju, najmoćniji pokretač promjena može doći kroz povećanu svijest potrošača o sigurnosnim prijetnjama i zahtjevima za poboljšanim standardima sigurnosti. Možda će ovaj nedavni napad podstaći takvu svijest, jer bez veće pažnje, IOT bi mogao pružiti priliku za još veći i štetniji napad u budućnosti.