untuk Internet untuk segala (IoT) berarti semua teknologi yang memungkinkan penggunaan objek cerdas, yaitu sensor dan aktuator yang, terhubung ke internet, dapat diprogram atau digunakan dari jarak jauh melalui, misalnya, aplikasi dari ponsel atau program dari komputer sebuah pusat operasi. Ini adalah kasus sensor yang, misalnya, melayani kamera dengan mana hewan peliharaan dipantau saat mereka jauh dari rumah, atau kamera kecepatan kota yang secara otomatis mengirimkan foto plat mobil ke polisi setempat, bukan meteran. reaktor nuklir yang mengirimkan alarm ke pusat kendali; dan itu adalah kasus, untuk menjadi jelas, dari relay cerdas yang menyalakan sistem irigasi taman rumah, atau servo-sarana untuk membuka pintu bawah tanah otomatis, atau sistem kontrol katup pelimpah bendungan. menghadap ke desa pegunungan.
Benda-benda cerdas ini akan semakin meningkatkan kualitas hidup manusia, efektivitas dan profitabilitas proses industri, keselamatan bangsa. Tetapi adalah fakta bahwa hari ini mereka memperkenalkan risiko baru, yang kemungkinan terjadinya umumnya lebih tinggi daripada risiko keamanan terkait yang dihadapi komputer, tablet, dan ponsel cerdas.
Dan alasannya sederhana: sementara pemerintah, akademisi dan industri komputer dan perangkat lunak memiliki beberapa dekade penelitian dan pengembangan keamanan siber teknologi informasi di belakang mereka, produsen objek pintar dan pengembang sistem kontrol industri - baik itu perangkat yang baru dikembangkan daripada versi adaptasi dari model tradisional - mereka tidak memiliki pengalaman dengan kekayaan pengetahuan perlindungan dunia maya yang diperoleh dan dikembangkan di dunia TI.
Selain itu, dorongan untuk memasukkan "kecerdasan" berbiaya rendah, yang mengakibatkan penggunaan sistem dengan kapasitas komputasi yang berkurang, dan konsumsi energi yang terbatas untuk menghindari penggunaan baterai berkapasitas tinggi, membuat solusi yang dikembangkan untuk server tidak dapat digunakan dalam banyak kasus. PC dan smartphone, objek yang tidak ada hambatan biaya.
Hasilnya adalah perangkat IoT saat ini - tidak seperti apa yang terjadi secara sistematis untuk supply chain perangkat dan perangkat lunak TI - umumnya tidak diproduksi dengan menggabungkan fitur keamanan siber yang diperlukan untuk membantu mengurangi risiko terkait, juga tidak ada kemampuan serupa yang mampu mendukung pengguna dalam fase instalasi dan operasi.
Dan sebagai faktor risiko predisposisi, pertimbangkan juga bahwa sensor dan aktuator ini, yang dikandung siap internet, mereka sering memiliki fungsi juga Pasang, yaitu, mereka terhubung ke jaringan dan mulai bekerja tanpa memerlukan instalasi awal dan aktivitas konfigurasi, juga tidak memiliki fungsi - khas di dunia TI - memblokir sesi setelah periode tidak aktif. Sebuah studi yang sangat baru telah menunjukkan bagaimana, selama kuncian, dalam keheningan kantor yang tertutup untuk umum, IoT terus beroperasi tanpa kendali, memperlihatkan jaringan perusahaan dan fasilitas.
Kesenjangan ini harus dijembatani sesegera mungkin dan dunia ilmiah berkembang, bersama dengan industri dan badan-badan kontrol dan regulasi, serangkaian persyaratan dan rekomendasi yang - mengikuti contoh dari apa yang sudah ada di sektor TI - mendorong untuk mempertimbangkan asumsi risiko tertentu dan bertujuan untuk mengawasi bidang mitigasi yang berbeda.
Pada dasarnya ada tiga asumsi risiko yang harus dipertimbangkan. Pertama-tama bahwa objek cerdas akan semakin dieksploitasi untuk melakukan serangan terkoordinasi dengan efek nyata, serta partisipasi dalam serangan DDoS (Distributed Denial of Service: bagi orang awam, ini adalah serangan terhadap server yang ditujukan untuk "membanjiri" untuk mencegahnya. itu dari memberikan layanan) terhadap organisasi lain, intersepsi lalu lintas jaringan atau kompromi perangkat lain pada segmen jaringan yang sama. Peristiwa 21 Oktober 2016 berlaku sebagai contoh untuk semua ketika, mengikuti penciptaan salah satu yang terbesar botnet dibentuk oleh IoT, yaitu jaringan rahasia objek cerdas yang dikendalikan secara diam-diam tanpa sepengetahuan pemiliknya yang sah, DDoS dibuat pada layanan DNS (Sistem Nama Domain: untuk pemula ini agak mirip dengan buku telepon atau direktori jalan yang digunakan Internet untuk mengaitkan alamat numerik dengan nama situs web atau domain email). Serangan ini mencegah pengguna mengakses sumber daya web terbesar di Amerika Serikat, termasuk Twitter, Spotify, dan PayPal.
Dua penilaian lainnya menyangkut fakta bahwa: Perangkat IoT yang berisi data akan menjadi sasaran serangan CIA (Kerahasiaan, Integritas, Ketersediaan) untuk mencuri, mengkompromikan, atau membuat tidak tersedia informasi yang disimpan di sana atau dikirimkan untuk mereka; dan bahwa serangan terhadap Internet-of-Things dapat diluncurkan untuk membahayakan privasi individu.
Oleh karena itu kebutuhan untuk memastikan perlindungan fisik perangkat, keamanan logis data dan, dalam kasus di mana data pribadi diproses, perlindungan hak atas privasi.
Dari sudut pandang ini, produsen harus memastikan kontrol teknologi di lima area mitigasi yang terdiri dari: mempertahankan inventaris yang diperbarui dan tepat waktu dari semua perangkat IoT dan karakteristiknya yang relevan (Manajemen Aset); mengidentifikasi dan mengurangi kerentanan yang diketahui dalam perangkat lunak perangkat, misalnya dengan menginstal tambalan dan memodifikasi dan pengaturan konfigurasi (Manajemen Kerentanan); menghindari akses fisik dan logis yang tidak sah dan tidak tepat (Access Management); mencegah akses dan gangguan dengan data yang disimpan dalam perangkat atau dalam perjalanan yang dapat mengekspos informasi sensitif atau memungkinkan manipulasi atau gangguan operasi perangkat (Perlindungan Data); dan terakhir, aktivitas Deteksi Insiden untuk memantau dan menganalisis aktivitas perangkat IoT untuk menyoroti indikator kompromi perangkat dan data.
Pertanyaannya sangat serius dan tidak sekunder. Sedemikian rupa sehingga presiden Amerika Serikat menandatangani beberapa hari yang lalu pada "Memorandum Peningkatan Keamanan Siber untuk Sistem Kontrol Infrastruktur Kritis" yang dengannya dia meluncurkanInisiatif presiden untuk keamanan siber sistem kontrol industri (PL). Dan secara sistematis menginvestasikan semua supply chain teknologi IoT: produsen dan pemasang harus menghadapinya sepanjang siklus hidup teknologi, mulai dari tahap penelitian, pengembangan, dan produksi pra-penjualan, dengan aktivitas teknis yang benar yang bertujuan untuk memastikan karakteristik dan fungsi keamanan siber. Mereka juga perlu melanjutkan aktivitas informasi dan dukungan pasca-penjualan untuk menjamin bantuan teknis yang diperlukan kepada pengguna akhir, juga dengan mengacu pada penggunaan platform cloud yang telah diusulkan hari ini oleh supply chain TI untuk enkripsi komunikasi antara objek cerdas.
Terakhir, tidak boleh diabaikan bahwa semua ini pasti akan menghasilkan peningkatan biaya produksi dan sumber daya yang diperlukan untuk memastikan operasi, pemeliharaan, dan kualitas layanan: biaya berulang ini dapat membuat perangkat IoT tidak lagi menarik dalam banyak konteks.
Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo
Untuk mempelajari lebih lanjut:
https://blog.osservatori.net/it_it/iot-sicurezza-privacy
https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf
https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices
