Vulnerabilitatea la atacurile cibernetice este tot mai mare, deoarece numărul dispozitivelor conectate prin Internetul obiectelor (IoT) crește rapid și multe dintre ele nu sunt securizate.

În 2017, un raport al companiei de securitate Darktrace a ținut titlurile multor ziare după ce a explicat cum un grup de hackeri a accesat rețeaua unui cazinou prin termostatul inteligent al unui acvariu. 


Astăzi, aceeași informație nu ar mai suscita același interes, pentru că atacurile care folosesc portițele lăsate deschise de dispozitivele inteligente sunt obișnuite. Un test recent realizat de hackeri etici ai organizației Euroconsumers a constatat că un număr alarmant de mare de dispozitive casnice inteligente obișnuite, cum ar fi routerele WiFi, monitoarele pentru copii sau sistemele de alarmă suferă de vulnerabilități grave, lăsându-le susceptibile la atacuri.


Case inteligente, case piratabile


Cercetarea Euroconsumers (.pdf) demonstrează modul în care aceste riscuri ar putea afecta consumatorii la un nivel foarte personal. Doi hackeri etici au testat 16 dispozitive pentru case inteligente, realizate atât de producători bine cunoscuți, cât și de producători mai puțin cunoscuți, și au descoperit 54 de vulnerabilități în ansamblu. În 10 dintre dispozitivele testate, cel puțin unul dintre punctele slabe detectate a fost clasificat ca fiind de „severitate ridicată” sau „critic”.


„Rezultatele sunt alarmante", a spus Els Bruggeman, de la Euroconsumers. „Producătorii trebuie să facă mai mult. Acest lucru este crucial pentru a câștiga încrederea consumatorilor, care va permite întregului ecosistem IoT să înflorească. Dacă nu sunt sigure și securizate, acest lucru nu se va întâmpla ”.


Constatările rezonează cu preocupările altor grupuri și experți cu privire la riscurile potențiale găsite în multe dispozitive inteligente aflate în prezent pe piață. În multe cazuri, parolele se dovedesc a fi punctul slab, mai ales în cazul în care dispozitivele sosesc din fabrică cu detalii de autentificare implicite, pe care mulți utilizatorii nu le modifică.


Un studiu realizat de grupul britanic pentru protecția consumatorilor Which? la începutul acestui an a detectat 2.435 de încercări malițioase de conectare la dispozitive cu nume de utilizator și parole implicite slabe într-o săptămână, după ce a pus online o „casă inteligentă” falsă.


Concernul francez Thales Group avertizează într-o analiză că un ecosistem IoT mai complex înseamnă și vulnerabilități sporite de securitate. Tot ei arată că pandemia COVID-19 a făcut ca amenințările să devină mai pregnante. 


Ei au identificat cele mai importante probleme de securitate ale IoT: 

- Parole slabe 

- Lipsa de patch-uri și actualizări regulate 

- Interfețe nesigure 

- Protecție insuficientă a datelor 

- Management slab al dispozitivelor IoT 

- Decalajul de competențe IoT 


Deși pandemia a subliniat cât de vitală este strategia digitală pentru reziliența afacerilor, un raport comandat de Thales arată că graba de a implementa noi tehnologii digitale vine adesea fără măsurile de securitate potrivite. Noua infrastructură IoT, odată compromisă, poate duce la acces neautorizat la sistemele mai vechi, nepregătite pentru cerințele de securitate actuale. 


Tot Thales citează un studiu publicat în iulie 2020, care a  analizat peste 5 milioane de dispozitive IoT, IoMT (Internet of Medical Things) și dispozitive conectate neadministrate din sănătate, comerț cu amănuntul și producție. Au fost descoperite un număr uimitor de vulnerabilități și riscuri la cele mai diverse obiecte conectate: dispozitive IoT ascunse (dispozitive active fără știința administratorului de rețea), încălcări ale conformității și dispozitivele medicale aflate în funcțiune deși fuseseră declarate defecte sau riscante și chiar rechemate de FDA - organismul american de autorizare pentru alimente și medicamente. Au fost găsite situații în care boxe inteligente echipate cu Amazon Alexa sau Google Assistant erau conectate la o rețea de spital, încălcând cerințele de confidențialitate, deoarece atacatorii pot asculta sau înregistra conversații. Au fost descoperite mașini de imagistică prin rezonanță magnetică și tomografie computerizată care rulau platforme de socializare.


Președinta Comisiei Europene, Ursula von der Leyen, a anunțat pe15 septembrie un Act pentru reziliență cibernetică care vizează stabilirea unor standarde comune de securitate cibernetică pentru dispozitivele conectate.


„Nu putem purta o discuție despre apărare fără să abordăm problema securității cibernetice. Dacă totul este interconectat, atunci totul poate fi piratat. [...] Ar trebui să dezvoltăm aici, în Europa, instrumentele de apărare cibernetică de care avem nevoie. De aceea avem nevoie de o politică europeană de apărare cibernetică, inclusiv de o legislație privind standardele comune, în cadrul unui nou Act european privind reziliența cibernetică.”


Inițiativa Comisiei vine să completeze o propunere existentă pentru o directivă privind securitatea rețelelor și a sistemelor de informații, cunoscută în mod curent drept Directiva NIS2. NIS2 extinde domeniul de aplicare al directivei anterioare (NIS), prin creșterea cerințelor de securitate cibernetică pentru serviciile digitale utilizate în sectoare critice ale economiei și societății.


Bart Groothuis, europarlamentarul raportor în dosarul NIS2 în Parlamentul European, subliniază complementaritatea celor două legi ale UE. În timp ce NIS2 abordează securitatea lanțurilor de aprovizionare critice, el spune că dispozitivele conectate sunt un punct mort în arsenalul european de securitate cibernetică.


„Internetul lucrurilor va aduce o mulțime de produse nesecurizate, deoarece securitatea nu este adesea preocuparea producătorilor de astfel de mașini. Și nu există încă un standard european care să fie confirmat. Este plăcut să aveți o mașină de pulled pork în bucătărie sau un aparat de cafea inteligent, dar este, de asemenea, o modalitate prin care hackerii pot intra în sistemele IT de acasă ", a spus Groothuis pentru EURACTIV.


„Pledăm de mult timp pentru a asigura siguranța consumatorilor în întreaga UE”, a declarat Els Bruggeman de la Euroconsumers. „Dacă Comisia dorește să devină un lider în domeniul securității cibernetice, trebuie să lucreze la o abordare comună a UE a amenințărilor cibernetice care să permită consumatorilor încrederea în IoT.”


Salutând Actul privind reziliența cibernetică, directorul general al DigitalEurope, Cecilia Bonefeld-Dahl, a avertizat cu privire la proliferarea propunerilor UE de reglementare a mediului cibernetic. În afară de directiva NIS2, există mai multe propuneri, inclusiv o directivă privind reziliența entităților critice, Directiva sectorială operațională de reziliență digitală și mai multe reglementări privind siguranța produselor, a subliniat ea. „Avem nevoie de obiective mai armonizate și de reguli ușor de implementat dacă dorim să obținem protecția potrivită pentru europeni și să ajutăm industria europeană să construiască capacități de securitate cibernetică la scară largă”, a spus Bonefeld-Dahl.


Linkuri:


The Cybersecurity Act (2019/881 - 17 aprilie 2019)


Regulamentul GDPR (Directiva 95/46/EC)


Directiva securității rețelelor și sistemelor informatice - NIS (EU 2016/1148)


Noua reglementare a dispozitivelor medicale - EU’s Medical Device Regulation (MDR – 2017/745)


European Union Agency for Network and Information Security (ENISA):  how to implement security by design for IoT


Reglementare în pregătire: CE - strengthening the security of internet-connected devices