Kliknąłeś w wilka brawo !

Rozwój internetu rzeczy niesie ogromny potencjał korzystnych zmian w wielu aspektach ludzkiego życia, ale równocześnie budzi obawy o bezpieczeństwo użytkowników i ich prywatność. Jak jest naprawdę?

Przedstawiamy 5 kluczowych problemów dotyczących ochrony prywatności i bezpieczeństwa w internecie rzeczy oraz powszechnych mitów z nimi związanych.

Mit 1: Większe bezpieczeństwo to mniej prywatności

Na ostatnim szczycie IEEE 2014 (Instytut Inżynierów Elektryków i Elektroników), który odbył się w grudniu w Brukseli i w całości poświęcony był zarządzaniu internetem, pojawiały się głosy mówiące, że na wzroście bezpieczeństwa w internecie rzeczy nieuchronnie cierpi prywatność użytkowników. Takie podejście, oparte na zasadzie „albo bezpieczeństwo – albo prywatność”, nie zyskało jednak zbyt wielu zwolenników, a większość uczestników szczytu IEEE opowiedziała się za łączeniem tych dwóch zagadnień. Pod względem technologicznym bezpieczeństwo i prywatność mają bowiem więcej wspólnego niż mogłoby się wydawać na pierwszy rzut oka – wzbogacają siebie nawzajem.

Zestawiając ze sobą obie koncepcje – większego bezpieczeństwa i większej prywatności – można zauważyć, że w internecie rzeczy prywatność w większym stopniu obejmuje perspektywę użytkownika aniżeli dostawcy, nieco inaczej jest w przypadku bezpieczeństwa. Bo bezpieczeństwo może być elementem perspektywy użytkownika, jeśli w zamian za swoje zaangażowanie otrzymuje on konkretne korzyści. Dobrym przykładem są inteligentne, domowe urządzenia pomiarowe, które szczegółowo monitorują zużycie mediów. Takie rozwiązania są korzystne zarówno dla użytkownika, jak i dostawcy – o ile szanują prywatność użytkownika i gwarantują bezpieczeństwo systemów i danych rozliczeniowych dostawcy.

Ponadto obie koncepcje opierają się na podobnym rozwiązaniach technologicznych, zwłaszcza związanych z szyfrowaniem danych. Jednocześnie, rozwiązania tworzone pod kątem obu tych zastosowań są w równym stopniu zawodne. Inżynierowie tworzący oprogramowanie i budujący systemy muszą znać sposób myślenia swoich potencjalnych wrogów, aby nie pominąć żadnych istotnych kwestii na etapie projektowania rozwiązań.

Ważnym aspektem internetu rzeczy jest fakt, że jego poszczególne elementy są komponentami systemów, które są częścią innych układów. Dlatego zdarza się, że twórcy pierwotnego elementu w ogólnie nie uwzględniają kwestii bezpieczeństwa i ochrony prywatności podczas projektowania, twierdząc, że tworzone przez nich rozwiązanie współpracuje tylko z wiadomymi komponentami i systemami. Udowodniono jednak, że np. wiele osobistych urządzeń medycznych błędnie szyfruje informacje, co zagraża bezpieczeństwu urządzeń i danych przez nie pozyskiwanych lub przesyłanych, naruszając w konsekwencji prywatność ich użytkowników. Takie przypadki zgłaszała nawet amerykańska Agencja ds. Żywości i Leków (FDA).

Postrzeganie kwestii bezpieczeństwa i ochrony prywatności na zasadzie „albo-albo” to fałszywa dychotomia, która może prowadzić do błędnych decyzji. Jak pokazują liczne doświadczenia w obszarze IT, stuprocentowe bezpieczeństwo oznacza zwykle zerową funkcjonalność. Warto zatem zastanowić się nad innym kompromisem, który sprawdzi się w praktyce i zagwarantuje ekonomię rozwiązania.

Mit 2: Wyzwaniom internetu rzeczy można sprostać w oparciu o istniejące rozwiązania IT

Czy istniejące koncepcje i praktyki dotyczące bezpieczeństwa IT i ochrony prywatności wystarczą, by sprostać wyzwaniom internetu rzeczy?

Teoretycznie, powinniśmy być w stanie zmierzyć się z wyzwaniami internetu rzeczy w oparciu o istniejące koncepcje i zestawy dobrych praktyk stosowanych dziś w obszarze bezpieczeństwa IT i ochrony prywatności. W końcu wiemy przecież, jak zabezpieczać przedmioty i chronić prywatność użytkownika. Problem polega jednak na tym, że nadal nie znamy sposobu na zwiększenie wydajności tych zabezpieczeń. To, o czym musimy pamiętać, to priorytety i konieczność wypracowania kompromisu. Większe bezpieczeństwo, nie tylko informatyczne, zawsze wiąże się z koniecznością zapłaty za nie wyższej ceny. Firmy niejednokrotnie muszą wybierać, czy inwestować w rozwiązania gwarantujące bezpieczeństwo, czy te generujące zyski. Nie da się całkowicie zrezygnować z jednej korzyści na rzecz drugiej. Kompromis jest nieodzowny. Jednakże, w przypadku internetu rzeczy, w którym połączone są ze sobą niezliczone ilości urządzeń i systemów, rozwiązania bezpieczeństwa i ochrony prywatności muszą być znacznie bardziej wydajne.

Podczas grudniowego szczytu IEEE w Brukseli główny ewangelista internetu w Google – Vint Cerf znany również jako „ojciec internetu” – wyjaśniał, dlaczego optował za ustanowieniem 32-bitowego adresu protokołu internetowego (IP). Na podstawie ogólnych obliczeń stwierdził, że w przyszłości potrzebnych będzie od 2 do 4 miliardów adresów IP, dlatego 32-bitowe adresy wydawały się najbardziej odpowiednie. To pokazuje, że im bardziej skomplikowane są rzędy wielkości, tym większej wydajności wymagają. W przypadku internetu rzeczy, gdzie liczba przedmiotów sięga bilionów, skala jest jeszcze większa, a więc potrzebna jest jeszcze większa wydajność. Przy takim rozmachu może okazać się, że nawet jeden grosz wydany na jeden przedmiot generuje zbyt duże koszty.

Mit 3: Cyberbezpieczeństwo to dojrzała dziedzina nauki

Jeśli zdefiniujemy naukę jako część ludzkiej kultury, budowanej i rozwijanej za pomocą metod naukowych poprzez działalność badawczą, to nauka o cyberbezpieczeństwie nie przekroczyła jeszcze zasadniczo wieku niemowlęcego. Wiele aspektów cyberbezpieczeństwa pozostaje niezgłębionych, np. modelowania zachowania użytkownika w domenie cybernetycznej. Kluczowe znaczenie ma odpowiedź na pytanie o to, co wpływa na podejmowanie przez użytkownika dobrych lub złych decyzji w zakresie bezpieczeństwa i ochrony prywatności. A to dlatego, że człowiek jest zaangażowany praktycznie w każdym element internetu rzeczy – począwszy od projektowania, przez wdrażanie, obsługę, stosowanie, konserwację, użytkowanie, aż po likwidację.

Skoro człowiek stanowi integralną część internetu w ogóle i internetu rzeczy w szczególności, warto przeanalizować zachowanie użytkownika z naukowego punktu widzenia. Dotychczas nie opracowano jeszcze żadnych modeli popartych wynikami badań. Tymczasem, wartościowe mogłoby okazać się stworzenie modeli obrazujących m.in. procesy myślowe inżynierów podczas pracy nad opracowywaniem systemów, funkcjonowanie stworzonych przez człowieka instytucji w świecie opanowanym przez internet rzeczy, sposób myślenia przeciwników i ich zachowanie, możliwości ochrony dużych powierzchni potencjalnych ataków.

Niestety, będzie musiał. Można jednak spodziewać się, że decydując o bezpieczeństwie i ochronie prywatności, podmioty prywatne będą jednocześnie ułatwiać wymianę informacji służących wspólnemu dobru. Ogromną rolę odgrywają tutaj mimo wszystko wytyczne polityczne i instytucje, takie jak stworzone w USA Federalna Administracja Lotnictwa (FAA), Narodowa Rada Bezpieczeństwa Transportu (NTSB) i inne organizacje, które zajmują się analizą zdarzeń i tworzeniem regulacji mających na celu ochronę interesu publicznego.

W tym kontekście, kluczowe znaczenie ma tworzenie elastycznych rozwiązań umożliwiających bezpieczną wymianę informacji, które służą do naukowej analizy zdarzeń z zakresu bezpieczeństwa i tworzenia sprawdzonych wytycznych pozwalających na uniknięcie takich zdarzeń w przyszłości. Chodzi tutaj zatem o generowanie i śledzenie informacji zwrotnych o dobrych praktykach umożliwiających naukowcom, przedsiębiorstwom i użytkownikom internetu rzeczy podejmowanie świadomych decyzji wpływających na ich bezpieczeństwo i ochronę ich prywatności.

Konieczne jest szerzenie wiedzy o zagadnieniach związanych z bezpieczeństwem i ochroną prywatności wśród osoby kształtujących politykę, aby chciały i mogły one wspólnie podejmować działania w celu sprostania wyzwaniom internetu rzeczy. Takie osoby muszą mieć świadomość obaw dotyczących bezpieczeństwa internetu i internetu rzeczy oraz ochrony prywatności, aby pomóc społeczeństwu w skutecznym wkroczeniu na to zupełnie obce terytorium.

Opracowano na podstawie artykułu Grega Shannona, zasiadającego w radzie IEEE Cybersecurity Initiative oraz dyrektora ds. naukowych w CERT Division, Carnegie Mellon University Software Engineering Institute opublikowanego w amerykańskim wydaniu CSO.