Komentář: Skrytá hrozba pro Evropu. Levná IoT zařízení z Asie jsou tikající bomba

Hrot24, vygenerováno v Midjourney

Komentář: Skrytá hrozba pro Evropu. Levná IoT zařízení z Asie jsou tikající bomba

Používané taktiky, jako je vkládání výbušnin a přepadávání dodavatelských řetězců, nejsou zcela nové. I tak to vyvolává obavy ohledně bezpečnosti osobních zařízení a možností jejich zneužití k budoucím útokům, píše expert na kyberbezpečnost Jan Bufka.

Bezprecedentní útoky Izraele na Hizballáh, při nichž explodovaly stovky pagerů a zahynulo okolo čtyř desítek lidí, názorně ukázaly hrozbu, před kterou odborníci na kybernetickou bezpečnost varují již několik let. Mezinárodní dodavatelské řetězce počítačového vybavení a propojenost systémů nás vystavují možným útokům, a my nemáme žádné prostředky, jak se proti nim účinně bránit.

Cílem totiž zdaleka nemusejí být pouze teroristé – zranitelné jsou naše počítače, mobilní telefony a stále častěji i auta, ledničky, domácí termostaty a mnoho dalších užitečných věcí v domácnosti. Cíle jsou všude, nemluvě o kritických infrastrukturách států – zajišťujících dodávky energií, vody, odpadního hospodářství, zdravotnictví atp.

Kupříkladu americká národní bezpečnostní agentura (NSA) zachycovala komunikační zařízení při přepravě a upravovala je nikoli pro destruktivní účely, ale pro potřeby odposlechu komunikace. Z dokumentu Edwarda Snowdena víme, že to udělala s routery Cisco určenými pro syrskou telekomunikační společnost. Pravděpodobně to však nebyla jediná operace agentury tohoto typu.

Bezpečnost IoT uniká naší pozornosti

Obzvláště v ohrožení jsou osobní zařízení připojená k internetu věcí (IoT) v zemích, jako jsou Spojené státy. V roce 2007 Národní laboratoř v Idahu prokázala, že kybernetický útok může způsobit výbuch vysokonapěťového generátoru. V roce 2010 počítačový virus s názvem Stuxnet, o němž se předpokládá, že byl vyvinut ve spolupráci tajných služeb Izraele a USA, zničil centrifugy v íránském jaderném zařízení a zabrzdil jejich jaderný program na několik měsíců.

Únik dokumentů CIA z roku 2017 obsahoval prohlášení o možnosti nabourat se na dálku do automobilů, což by podle WikiLeaks mohlo být využito k provádění „téměř nezjistitelných atentátů“. Nejde však jen o teoretické úvahy nebo spiklenecké teorie. V roce 2015 umožnil reportér časopisu Wired hackerům, aby na dálku ovládli jeho auto, když ho řídil. Vypnuli mu motor, když jel po dálnici.

Svět se již začal této hrozbě přizpůsobovat. Mnoho států stále více kontroluje telekomunikační zařízení ze zemí, kterým nedůvěřují. Spojené státy a další země, včetně EU, zakazují instalovat routery od čínské společnosti Huawei. Panuje totiž obava, že by mohly být v době eskalace válečných konfliktů použity k odposlechu komunikace nebo dokonce na dálku deaktivovány. V roce 2019 vypukla menší panika kvůli vagonům metra čínské výroby, které disponovaly technikou pro odposlech cestujících.

Na mušce jsou dodavatelské řetězce

Používané taktiky, jako je vkládání výbušnin a přepadávání dodavatelských řetězců, nejsou zcela nové. Tentokrát však byly provedeny veřejně a mnohem ničivěji než kdy dříve. To vyvolává obavy ohledně bezpečnosti osobních zařízení a možností jejich zneužití k budoucím útokům.

Není zřejmé, jak se můžeme proti těmto a podobným útokům bránit. Naše dodavatelské řetězce špičkových technologií jsou složité a mezinárodní. Pro Hizballáh nebylo žádným varovným signálem, že pagery skupiny pocházejí od společnosti se sídlem v Maďarsku, která je dodává z Tchaj-wanu, protože něco takového je naprosto běžné. Většina elektroniky, kterou Američané kupují, pochází ze zámoří, včetně našich iPhonů, jejichž součástky pocházejí z desítek zemí, než se dají dohromady především v Číně.

Technologické zabezpečení proti těmto druhům útoků je evidentně v běžných podmínkách nereálné. Detailní kontrola dodavatelského řetězce zůstává pouze v teoretické rovině. Stačí se zamyslet nad množstvím součástek, ze kterých je složen i nejobyčejnější mobilní telefon. Jak tedy lze pomoci?

Nabízí se organizační opatření – zahrnutí informací o této problematice do vzdělávacích programů. V naší společnosti se soustředíme na problematiku vzdělávání v oblasti kybernetické bezpečnosti. V rámci našich workshopů se zabýváme i oblastí ochrany soukromí. Učíme uživatele, jak se zbytečně nevystavovat rizikům spojeným s útoky, které jsou vedeny skrze software nebo hardware.

Cílem je uvědomění si potenciálu rizika spojeného s neuváženými instalacemi různých aplikací a programů, které slouží často jen k zahnání nudy. Zároveň upozorňujeme na rizika všemožných IoT zařízení, kterými jsou zaplavovány naše domácnosti.

Autor je manažer kybernetické bezpečnosti technologické společnosti ČMIS