IoT (Internet of Things)

IoT (Internet of Things)

mika

Mika Lauhde

Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia Business Security and Continuity la Nokia Corporation unde a răspuns de relațiile guvernamentale în zona securității IT ca și în zonele mana- gementului de criză, complianță infracțională, prevenirea fraudelor și soluții de criptare a terminalelor.

Mika are o exepriență bogată în zona subiectelor de securi- tate și a instituțiilor guvernamentale atât în Europa cât și în SUA. În prezent este membru în ENISA (European Network and Information Security Agency) Permanent Stakeholder Group, în European Cyber Security Research Center, și în grupul de lucru în domeniul Cyber Security al Guvernului Finlandez.

  • Membru al ENISA (European Network and Information
  • Security Agency) PSG (2009 – )
  • Membru în managementul grupului de lucru al Leuven
  • University European Crypto Task Force  (2014 – )
  • Grupul de lucru Europol  (2014 – )
  • Membru în managementul European Cyber Security Research Center  (2011 – )
  • Membru în grupul de lucru Finnish Government Cyber Security  (2013 – )
  • Founding Member și Board Member TDL (Trust in Digital Life) (2010 – 2013)
  • Membru al EU government  security advisory board RISEPTIS (2007-2009)
  • Membru al Finnish government ICT security advisory board (2007 – 2010)
  • Membru al UK government critical infrastructure protection group CPNI (2005 – 2009)

autor: Mika Lauhde

VP, Government Relations and Business Development,
SSH Communications Security

O să-i dezamăgesc pe cei care așteaptă marile fenomene legate de securitatea cibernetică în domeniul IoT (Internet of Things) spunându-le că trenul a plecat deja. Problemele de securitate în domeniul IoT se află deja printre noi și ceea ce rămâne de stabilit este cine va administra securitatea acestora, și din acest punct de vedere adevăratul subiect este controlul următoarelor generații de ecosisteme de supraveghere și de business.

Tehnologiile din domeniul securităţii cibernetice, chiar dacă sunt importante, nu pot fi comparate cu informaţiile vitale: ce anume ne propunem să apărăm și ce ne este frică să pierdem? Asupra acestor aspecte va trebui să ne concentrăm în construirea capacităţilor de apărare.
Înţelegem cu toţii faptul că tehnologiile cibernetice se vor îmbunătăţi odată cu trecerea anilor și putem fi siguri că și atacurile asupra acestora se vor îmbunătăţi. Confruntarea dintre aceste două aspecte ne va ţine ocupaţi în domeniul securităţii cibernetice.
Prin urmare, cum să fim suficient de prevăzători și să nu așteptăm pasivi ivirea unor breșe de securitate?
Pentru aceasta trebuie să înţelegem ecosistemul și rolurile din cadrul acestuia!
Următoarele exemple sunt luate din industria auto și din scenariile cu automobilele care se pot conduce singure.
După cum știţi, în SUA există deja mașini care se conduc singure și au fost făcute deja teste în acest sens și în Europa. Aceste tipuri de mașini au nevoie de un volum mare de informaţii de la senzori din mediul înconjurător, dar și informaţii de la alte sisteme de back-end. Când vorbim despre sisteme de back-end nu ne referim la sistemul de divertisment, care este componenta cea mai interesantă pentru cei care stau pe scaunele din spate ale mașinii, ci la informaţii care controlează mișcarea mașinii și siguranţa acesteia.
Prin urmare devine o necesitate naturală să protejăm sistemele mașinii. Dar împotriva a ce?

Să luăm în considerare următoarele aspecte legate de acest tip de ecosistem.

  1. Avem mașini care sunt programate să se conducă singure. Deci există o companie răspunzătoare de programarea navigaţiei, a controlului, ca și a celorlalte funcţionalităţi ale mașinii. 01
  2. Există drumuri alunecoase care nu pot fi prezise nici cu cele mai inteligente soluţii software.02
  3. Există un preţ (valoare) pentru fiecare om care se află în mașină, dar preţul este diferit de la individ la individ.03
  4. Prin urmare în momentul în care ciocnirea a două mașini pe un drum alunecos devine inevitabilă, și unii pasageri trebuie sacrificaţi pentru minimizarea daunelor totale, ce factori trebuie luaţi în considerare?04

Pentru a înţelege fiecare stakeholder și scopurile acestora atunci când vine vorba despre securitatea cibernetică, trebuie să înţelegem ce anume îi motivează pe acești stakeholderi:
Șoferul și proprietarul mașinii: înafara dorinţei de a controla pe deplin sistemul de divertisment (hack-uirea sistemului DRM și a protecţiei la copiere), există o motivaţie clară de a supravieţui. Cum să interferezi cu sistemele în așa fel încât nu numai să îţi controlezi mașina atunci când este necesar, dar să și trimiţi informaţii celorlalte mașini din trafic astfel încât să eviţi o coliziune.
Compania de asigurări: Din moment ce știm că nu se acordă compensaţii egale pentru vieţile pierdute sau pentru dizabilităţi, de ce nu ar avea companiile de asigurări o motivaţie clară de a avea un impact asupra programării și a sistemului de coliziune astfel încât să cheltuie cât mai puţin în cazul unui accident? Până la urmă și ei trebuie să plătească dividende acţionarilor..
Interesul guvernului: Toate guvernele trebuie să își protejeze cetăţenii. De obicei guvernele promit cetăţenilor securitate și siguranţă, mai ales atunci când este necesară limitarea anumitor drepturi. Dacă un guvern nu realizează aceste deziderate cum ar mai putea rămâne la putere? Există motive să credem că este în interesul tuturor guvernelor să influenţeze comportamentul mașinilor.
Investigația poliției: În majoritatea ţărilor atunci când se produce un accident, urmează și o investigaţie a poliţiei. De obicei aceasta are ca scop nu doar de a găsi un vinovat dar și de a duce la îmbunătăţiri ale siguranţei care să ducă la evitarea unor accidente similare în viitor. Accesul la toate datele din sistemul mașinii dar și la cele de back-end este vital. Deci, cum să fie accesate ambele sisteme?
Hacker: În acest caz am putea găsi mai multe motivaţii de a avea un impact asupra sistemului mașinii. De la a deveni faimos și până la a face rău. Dar pentru a dobândi “15 minute de glorie”, trebuie mai întâi să pătrunzi în sistemul mașinii și să preiei controlul.
Producătorul mașinii: Producătorul s-ar putea să nu fie localizat într-o singură ţară, dar deciziile de management sunt de regulă ghidate de normele regulatorii din ţara de origine a companiei. Producătorii se confruntă cu faptul că retragerea unor modele de pe piaţă, datorită unor sisteme tot mai complicate, devine din ce în ce mai scumpă. De asemenea ameninţările externe la adresa sistemelor mașinilor sunt tot mai mari. Toate celelalte părţi se află în conflict de interese cu producătorii mașinilor.
Realitatea, din păcate, este că producătorul are cea mai strânsă legătură cu mașina ceea ce implică și cel mai mare risc privind răspunderea. Sistemul din mașină este doar un sistem client, dar serverul este localizat undeva în cloud-ul producătorului. În ce ţară și sub ce jurisdicţie se află acest cloud?

Concluzie
Aici în Europa suntem mai degrabă în siguranţă din aceste perspective. Până la urmă, am renunţat la o componentă fundamentală denumită modem, care stă la baza IoT wireless, cu câţiva ani în urmă.
În prezent Europa se concentrează pe implementarea eCall și nici măcar nu am îndrăznit să întrebăm de unde se fac update-urile de software ale modemurilor acestor mașini europene și dacă există canale paralele de comunicare. Canale paralele despre a căror existenţă s-ar putea să aflăm abia peste câţiva ani, în cazul apariţiei unui nou caz „Snowden”. Atunci când vom ajunge atât de departe încât eCall să fie funcţional, probabil că vom afla că toate celelalte probleme au fost deja rezolvate. Fără nici o implicare europeană.
Deci, vă rog să nu spuneţi că vine IoT…. toate deciziile vitale se implementează deja…