IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

Senzory, které sledují stav strojů a pomáhají předcházet poruchám, automatizace rutinních úloh nebo snižování ekologické stopy díky optimalizaci využití zdrojů. Technologie IoT společně s operačními technologiemi (OT) jsou hnacím motorem růstu a inovací, a tak se rychle stávají součástí kritické infrastruktury. Na jejich zabezpečení se ale vždycky nemyslí. Pro firmy to může mít katastrofální důsledky v podobě úniků citlivých dat, narušení síťové bezpečnosti, nebo dokonce fyzického poškození zařízení.

Přesnější sledování stavu paliva firemních automobilů. Zemědělci, kteří používají snímače spolu s algoritmy strojového učení k monitorování a předvídání nutné údržby strojů ještě před jejich poruchou. Sluneční elektrárny připojené k meteorologickým stanicím a propojené s pohybovými motory v solárních panelech, které je automaticky přesouvají do bezpečných poloh, když příliš zesiluje vítr.

Jak fungují IoT a OT technolgie?

To všechno jsou příklady toho, jak se v dnešních firmách využívají chytré technologie. IoT v podnikovém prostředí zahrnuje širokou škálu zařízení, jako jsou senzory pro sledování teploty a vlhkosti ve skladech, detektory kouře a plynu, inteligentní měřicí nástroje pro monitorování výkonu strojů nebo ovládací prvky umožňující dálkové řízení a optimalizaci výrobních procesů.

Tyto technologie jsou typicky integrované do stávajícího ekosystému informačních technologií a připojených strojů, což umožňuje efektivnější a bezpečnější provoz. Dohromady tvoří síť propojených fyzických zařízení, která mezi sebou dokážou vzájemně komunikovat a vyměňovat si data přes internet. Ve výrobním průmyslu se díky nim otevřela celá škála možností, jak vytvářet inteligentnější systémy průmyslové automatizace.

Další podmnožinou je Industrial Internet of Things (IIoT), který propojuje stroje a analytické nástroje ve výrobním průmyslu s cílem zvýšit efektivitu a optimalizovat procesy. IIoT umožňuje real-time analýzu dat, což vede k prediktivní údržbě, snižování nákladů a rychlejšímu rozhodování.

Obecně se dá říci, že tato chytrá řešení slouží k optimalizaci výrobních procesů, zvyšování efektivity a snižování nákladů. IoT zařízení tak patří ke klíčovým prvkům provozních technologií.

Klíčem je spolehlivá konektivita

Ve výrobě a dalších oblastech podnikání je klíčovou součástí internetu věcí spolehlivá konektivita. Sítě NB-IoT a Cat-M jsou moderní bezdrátové technologie, které se stávají základem pro efektivní využití IoT zařízení.

NB-IoT (Narrowband Internet of Things) je ideální pro aplikace, které vyžadují přenos stavových informací z čidel s minimální spotřebou energie, což je nezbytné například pro monitorování prostředí nebo sledování stavu strojů.

Na druhé straně existuje síť Cat-M (také známá jako LTE Cat-M1), která je vhodná pro náročnější aplikace, u nichž je vyžadováno neustálé připojení k síti a schopnost komunikace i za pohybu. Cat-M poskytuje vyšší datový přenos a tím umožňuje online sledování mobilních zařízení, jako jsou kamiony nebo vlaky, a je vhodný pro online řízení strojů a další datově náročné aplikace. Síť Cat-M, kterou provozuje O2, má pokrytí 98,5 % území České republiky a nabízí vysokou spolehlivost a kapacitu pro různorodé použití v průmyslu a dalších odvětvích.

Když se hackne IoT

Problematika bezpečnosti IoT je dnes vysoce aktuální téma: právě tyto chytré technologie jsou často řazené mezi největší potenciální rizika pro firmy. Prolomení bezpečnosti IoT zařízení může mít závažné důsledky v podobě pozastavení produkce a vysokých finančních ztrát.

Nejčastější hrozby útoků na IoT

1. Narušení komunikace: Hackeři jsou schopní proniknout do komunikačních kanálů mezi IoT zařízeními. Tímto způsobem mohou sledovat, manipulovat, nebo dokonce přerušit přenos dat, což představuje vážné bezpečnostní riziko.

2. Emulace senzorů: Útočníci mohou hacknout systém tak, že se tváří jako legitimní senzor nebo zařízení. Tímto způsobem se mohou neoprávněně vměšovat do procesů a sběru dat, což může vést k narušení celého systému.

3. Výměna fyzických senzorů: IoT senzory často trpí nedostatečnou fyzickou ochranou, což umožňuje útočníkům je fyzicky nahradit falešnými zařízeními. Takové zařízení může odesílat zkreslená data nebo sloužit jako vstupní bod pro další útoky.

4. Kompromitace dat: Útočníci mohou kompromitovat senzory nebo zařízení tak, že odesílají falešné informace. To může vést ke škodlivým důsledkům, jako je narušení výrobních procesů, špatné rozhodování založené na nesprávných datech, nebo dokonce k bezpečnostním incidentům.

IoT senzory jsou obvykle kompaktní a cenově dostupné, což znamená, že obsahují jednoduché čipy bez schopnosti provádět složité šifrování. Tento faktor je klíčový pro pochopení bezpečnostních omezení těchto zařízení. Na druhou stranu, pokud by se v těchto senzorech používaly výkonnější čipy schopné zabezpečenějšího šifrování, zvýšily by se náklady na zařízení natolik, že by pro mnoho firem nebyly finančně přijatelné. Zranitelná může být i samotná síť – proprietární protokol na úzkopásmovém rádiu je podstatně méně zabezpečený než standardizované Cat-M / NB-IoT podle 3GPP standardů.

Data, která IoT zařízení sbírají a přenášejí, se také můžou snadno stát cílem kyberútoku. Jejich zneužití pak může vést k prozrazení obchodního tajemství nebo expozici citlivých dat o zákaznících. Výpadky v provozu zase můžou zpomalit, nebo dokonce zcela vyřadit výrobu či logistiku. Mezi běžné útoky v této oblasti patří také distribuované odepření služby (DDoS), zneužití firmwaru, man-in-the-middle útoky nebo ransomware.

Příkladem toho, kdy hackeři napadli IoT zařízení, mohou být opakované ransomware útoky na turbíny větrných elektráren v Německu. Dalším příkladem hackerského útoku na IoT je známý útok v Íránu, kdy hackeři přes IoT zařízení zničili pomocí viru Stuxnet odstředivky na obohacování uranu. Nebo hack automobilu Jeep v roce 2015, kdy hackeři získali kontrolu nad vozidlem prostřednictvím IoT zařízení v autě.

Nedávné útoky na IoT zařízení

• 2016 – Botnetová síť Mirai: Objevena botnetová síť Mirai. Malware, který infikoval miliony IoT zařízení, hackeři následně využívají k provádění rozsáhlých DDoS útoků na webové servery.
• 2023 – Exploit pro chytré zásuvky Belkin: Zveřejněný exploit pro IoT zařízení značky Belkin, umožňující útočníkům ovládat chytré zásuvky a manipulovat s připojenými zařízeními.
• 2024 – Malware BrickerBot: Odhalený malware BrickerBot, který cílil na IoT zařízení a způsoboval jejich trvalé poškození.

Jiná specifika přinášejí operační technologie (OT), které na rozdíl od IoT nepracují primárně se sběrem dat a jejich následnou analýzou, ale přímo ovlivňují fyzická zařízení ve výrobě. Integrace OT s IoT do firem zvyšuje složitost a rozsah potenciálních kybernetických hrozeb. Jak zdůraznil ředitel mobilních produktů a inovací v O2 Roman Bacík v O2 CyberCastu: „Čím více zapojených zařízení, tím více možností pro útočníky. Jakmile je zařízení připojeno do sítě, je nezbytné neustále vyhodnocovat a minimalizovat rizika.“

IoT zbavuje lidi práce, kterou nikdo nechce dělat

IoT zbavuje lidi práce, kterou nikdo nechce dělat

Zobrazit podcast

Jak přesně IoT zvyšuje zranitelnost firem vůči kyberútokům?

Zařízení IoT tvoří most mezi zabezpečenou sítí a nezabezpečenými zařízeními. Každé zařízení připojené k této síti je propojené prostřednictvím řady protokolů, mezi které patří Wi-Fi, Bluetooth, Near Field Communication (NFC) a další. Nedostatečně zabezpečená zařízení je jednodušší prolomit, a můžou proto vést k získání neoprávněného přístupu. Podle studie Microsoft Digital Defense Report 2023 v 78 % IoT zařízení existuje nějaká zranitelnost, která se v polovině případů ani nedá opravit nebo zazáplatovat. Navíc každé čtvrté zařízení OT v sítích výrobních společností běží na už nepodporovaném operačním systému. Přes polovinu zařízení se zastaralým firmwarem pak je vystavených v průměru více než deseti dalším zranitelnostem.

Jak ve firmě zajistit bezpečnost IoT a OT zařízení?

Základem je nasadit silná bezpečnostní opatření, jako například pravidelné aktualizace firmwaru a softwaru, šifrování dat, nasazení multifaktorové autentizace nebo monitoring sítě pro včasnou detekci incidentů:

• Zaměřte se na ověřování a řízení přístupu k IoT zařízením. Zahrňte do něj silná hesla, biometrické ověřování nebo dvoufaktorovou autentizaci. Zároveň se zamyslete nad tím, které uživatelské role by měly mít přístup ke všem funkcím nebo datům a komu pro výkon práce stačí pouze omezený přístup.
• Šifrujte data, která se přenáší mezi IoT zařízeními a ostatními částmi vašeho systému. Zamezíte tím odposlechu nebo manipulacím během této komunikace, které můžou vést například k útoku typu man-in-the-middle. Šifrování by se přitom mělo vztahovat i na data uložená přímo v zařízení, která jsou v klidovém stavu, pro případ kompromitace fyzického zařízení.
• Aktualizujte pravidelně software a firmware IoT zařízení, a tím budete průběžně odstraňovat zranitelnosti a bezpečnostní chyby, které by mohli útočníci zneužít. Využijte také firewally a systémy detekce útoků jako další vrstvu obrany proti neautorizovanému přístupu.
• Zaveďte další bezpečnostní opatření pro IoT síť, jako je například izolace IoT zařízení na samostatném segmentu sítě, která zamezí laterálnímu šíření útoku v případě kompromitace jednoho zařízení. Neobejdete se ani bez kompletního monitoringu sítě s detekcí abnormálního chování, který dokáže včas rozpoznat škodlivou aktivitu. S tím pomůže i O2 Security Expert Center.
• U OT technologií je hlavní prioritou udržení dostupnosti a bezpečnosti těchto systémů, aby nedošlo k přerušení provozu nebo fyzickému poškození infrastruktury. Bezpečnostní opatření proto často zahrnují detekci anomálií a segmentaci OT sítí.

Bezpečnostní strategie ve výrobním průmyslu by měla zohledňovat všechny vrstvy informačního a operačního prostředí. U operačních technologií i IoT proto v posledních měsících nabývá na významu také správa identity strojů (Machine Identity Management). Ta funguje tak, že každé zařízení v síti získá jedinečnou a ověřitelnou identitu, díky čemuž lze efektivněji zamezit neoprávněnému přístupu.

Proč je důležité chránit strojovou identitu?

Identitu strojů nesou tzv. digitální certifikáty a kryptografické klíče pro správu identit a přístupu ke strojům. Je to podobné, jako když lidé mají uživatelská jména a hesla. Identita strojů pak organizacím pomáhá zaručit důvěrnost informací, které proudí k autorizovaným strojům, a zabránit toku informací k neautorizovaným strojům.

Útočníci však můžou strojovou identitu zneužít k tvorbě skrytých nebo utajených šifrovaných komunikačních tunelů v podnikových sítích a získání privilegovaného přístupu k datům a prostředkům. Odcizené strojové identity také umožňují stroji útočníka vydávat se za legitimní stroj. Aby organizace udržely krok s objemem, rychlostí a rozmanitostí změn strojových identit, je třeba umět řídit správu složité a rychle se měnící sady strojových identitních dat tak, aby bylo možné rozpoznat falešné strojové identity.

V době rostoucí integrace IoT a OT technologií do výrobního průmyslu je klíčová spolehlivá konektivita a robustní ochrana těchto systémů. Firmy musí být proaktivní v zabezpečení svých sítí a dat, což zahrnuje pravidelné aktualizace softwaru, šifrování dat a pečlivý monitoring sítě. Efektivní bezpečnostní strategie nejen chrání data a zařízení, ale také buduje důvěru zákazníků a posiluje tržní pozici podniku.

Co si z článku odnést?

• IoT a OT technologie v podnicích zvyšují efektivitu, zlepšují přesnost sběru a analýzy dat nebo redukují repetitivní práci. V prostředí průmyslu chytrých zařízení rychle přibývá, jejich zabezpečení ale není vždy dostačující.
• Získáním přístupu k IoT zařízením můžou útočníci získat kontrolu nad výrobními zařízeními a provádět neautorizované změny v provozu.
• Škody způsobené vniknutím do systémů ve výrobě dosahují mnohociferných částek.
• Zabezpečení ve výrobním průmyslu musí pokrývat všechny vrstvy používaných technologií.
• Proaktivním zaváděním robustních bezpečnostních opatření a správy identit strojů zajistíte bezpečnější fungování v propojeném světě IoT a OT technologií.

Michal Hozák
Segmentový manažer IoT