Securitatea digitală a fost şi este un subiect controversat. Necesară dar extrem de dificil de implementat, securitatea digitală constituie o provocare majoră atât pentru clienţi cât şi pentru companiile ce oferă produse IT al căror principal scop este interconectarea sistemelor de automatizare.
De-a lungul anilor evoluţia a fost fulminantă pornind de la un domeniu de cercetare pură până la ceea ce numim o tehnologie "main stream".
Domeniul IT a cunoscut o evoluţie extrem de rapidă, pornind acum doar câteva zeci de ani, de la un simplu tranzistor. Această evoluţie a avut două direcţii - uşurarea activităţilor umane și facilitarea comunicării. Apariţia "Internet of Things"-ului reprezintă un pas major în această evoluţie. Conceptul este unul extrem de simplu: fiecare aparat poate fi conectat la Internet şi accesat de la distanţă - indiferent dacă este vorba de o centrală termică sau de o întreagă fabrică. Potențialul este uriaș - toate aparatele ce ne înconjoară devin inteligente putând colabora între ele sau cu diverse servicii online. Un exemplu simplu îl poate constitui o centrală termică
În prezent, aceasta este reglată de producător, în fabrică. Utilizatorul poate doar parametriza centrala termică specificând de exemplu, temperatura dorită într-un anumit interval orar. O centrală inteligentă introduce o serie de parametri suplimentari, cum ar fi prognoza meteo sau calendarul proprietarului. Astfel, dacă proprietarul este în concediu iar temperatura exterioară urmează să scadă, centrala va porni în mod automat, înainte ca proprietarul să revină din concediu pentru ca acesta să fie întâmpinat de o atmosferă plăcută la sosire. Totodată centrala termică poate fi optimizată de producător, tot prin Internet, prin intermediul actualizărilor software. În acest fel IoT-ul oferă o nouă viziune asupra interacțiunii om-mașină - totul devine interconectat și deci la îndemână. Însuși avantajul oferit de IoT devine însă o armă redutabilă în mâna unor infractori digitali.
Figura 1: Numărul atacurilor de securitate este în continuă creştere (Data Breach Investigation Report 2014)
Cu aceeași ușurință cu care este reglată de la distanță centrala termică, un atacator poate să o compromită.
Încă din faza de concept a IoT-ului a devenit clară necesitatea asigurării securității sistemelor digitale ce stau la baza acestuia. Interconectarea unor sisteme până de curând izolate deschide noi oportunităţi pentru atacatori, indiferent de motivaţia acestora, după cum se poate observa şi din presa de specialitate care aproape săptămânal prezintă noi vulnerabilităţi exploatate în cadrul unor atacuri din ce în ce mai complexe.
Prin natura lor, sistemele izolate pot fi protejate mai uşor - simplul fapt că sistemul este inaccesibil publicului larg ușurează această sarcină. În cadrul unor sisteme de acest fel au fost utilizați algoritmi privați de securitate, dezvoltați de cele mai multe ori de către o singură companie, fără un proces minuțios de evaluare a eventualelor breșe de securitate.
Depășirea barierelor fizice, realizată prin intermediul IoT-ului, a însemnat totodată şi propagarea pe scară largă a noţiunilor de securitate, criptografie şi criptanaliză - noţiuni ce au permis unui public larg accesul la acest domeniu "închis" numit "securitate". Aceste fapte au dus într-un timp foarte scurt la invalidarea conceptelor și tehnologiilor considerate sigure. Atacurile au relevat erori de concept, greșeli de implementare dar și probleme în aplicarea politicilor de securitate.
Virușii informatici moderni au devenit din ce în ce mai complecși având multiple mecanisme de colectare și propagare. Spre exemplu virusul FLAME are o dimensiune de 20MB având probabil milioane de linii de cod. Deține cinci mecanisme independente de criptare a datelor și o bază de date SQL în care stochează structurat datele colectate. Flame este capabil să infecteze un sistem informatic fără a lăsa urme - nu există nici un proces în sistem care să indice existența sa, în timp ce memoria alocată de virus nu poate fi accesată de nici un proces utilizator.
Figura 2: Securitatea digitală - o multitudine de tehnologii (www.microsemi.com)
Dat fiind acest context, a apărut pe cale naturală necesitatea dezvoltării unor noi concepte şi modele de securitate. Deși de cele mai multe ori extrem de complexe, soluțiile s-au dovedit ineficiente în fața atacurilor moderne. Dată fiind natura scalabilă a IoT-ului, puține concepte de securitate au putut fi adaptate noilor necesități. Prin natura sa, acesta expune date ce pot afecta sfera privată a oamenilor astfel încât o cerință primordială a noii ere o constituie asigurarea sferei private a actorilor umani. Realizarea practică a acestui deziderat presupune utilizarea de metode criptografice alături de tehnici de autentificare și autorizare. Transferul online de date stă la baza Internetului și chiar a societății moderne motiv pentru care securizarea acestuia a devenit imperios necesară. În acest fel s-au cristalizat cerințele de bază ce formează domeniul securității digitale în IoT.
Pentru a putea dezvolta soluții fiabile pe termen lung, tendința este de a dezvolta aplicații simple dar scalabile. Un exemplu în acest sens îl constituie un furnizor de utilități care în mod curent are câteva milioane de utilizatori - toți acești utilizatori trebuie să poată utiliza în mod sigur același serviciu, simultan; toți trebuie să se autentifice, să fie autorizați, să poată vizualiza consumul și factura curentă, date istorice și eventual să efectueze plăți. În acest context, securitatea digitală a devenit parte integrantă a proceselor de dezvoltare influențând atât arhitectura sistemelor hardware cât și a celor software. Soluțiile software oferă flexibilitate și pot fi dezvoltate într-un timp mai scurt cu un efort mai mic dar sunt mai susceptibile erorilor.
Un exemplu în acest sens este clasica eroare de "buffer overflow" care este extrem de ușor de exploatat față de cele hardware. Soluțiile hardware pe de altă parte sunt mult mai greu de implementat, necesită un efort uman și financiar mai mare, dar sunt mai puțin susceptibile erorilor. Crearea unui echilibru între soluțiile hardware și software constituie soluția optimă pentru realizarea unui sistem digital sigur. În prezent nu există nici un standard care să ofere o metodologie de determinare a acestui echilibru - singura măsură o constituie experiența inginerilor proiectanți de sisteme informatice și de securitate. În urma unei analize de risc pot fi identificate principalele clase de atac împotriva cărora sistemul trebuie protejat.
Mai apoi urmează identificarea, respectiv dezvoltarea tehnologiilor necesare pentru a proteja sistemul. Arhitectura unui sistem informatic poate fi schimbată drastic în funcție de potențialele atacuri. Introducerea unor nivele suplimentare de securitate poate reduce performanța sistemului făcând necesare modificări suplimentare. În general, nu este suficientă o singură metodă de protecție ci o multitudine. Totodată sistemele trebuie să fie active și nu doar pasive sau reactive. Astfel un sistem trebuie să fie capabil să detecteze, identifice și să reacționeze la atacuri de securitate similar sistemului imunitar al unui om. Toate aceste caracteristici definesc gradul de securizare pe care sistemul este capabil să îl ofere.
Figura 3: Topul celor 10 pericole de securitate (sursa: Cloud Security Alliance)
Un aspect important al dezvoltării soluțiilor de securitate îl constituie verificarea acestora. Din păcate, nici aici nu există standarde care să asiste dezvoltatorii, singurul ajutor fiind câteva procese de evaluare și de ghidare ("guidelines"). Acest domeniu este unul aflat într-o puternică schimbare momentan făcându-se tranziția de la o verificare sumară, bazată pe experiență personală, la o verificare formală, bazată pe modele matematice.
Sistemele informatice ce stau la baza IoT-ului sunt distribuite pe o mare suprafață geografică împărțind astfel problema securității între "cloud" și multitudinea de "thing-uri". Mai mult, "cloud-ul" este în general reprezentat de un terț motiv pentru care implementarea de soluții de securitate devine mai dificilă. Pe lângă aspectul tehnologic este necesară adaptarea cadrului legal care să permită exploatarea sigură, folosind metode criptografice puternice.
Cursa dintre atacatori și "protectori" este însă departe de a fi încheiată după cum se poate observa din numărul crescut al vulnerabilităţilor ce sunt exploatate în cadrul atacurilor de securitate astfel încât domeniul securităţii digitale va cunoaşte noi culmi tehnologice în anii ce vor urma. Tranziția spre securitatea intrinsecă, bazată pe proprietățile fizice ale unui circuit digital va contracara atacurile fizice de securitate și va asigura dezvoltatorilor software o ancoră de siguranță pentru a putea implementa noi modele de protecție. Pe partea de "cloud" noutatea majoră o va constitui criptografia homomorfă care permite executarea, respectiv procesarea datelor fără ca să fie necesară decriptarea acestora. Această tehnologie va asigura utilizatorilor o sferă privată puternică fără a-i lipsi însă de avantajele unei platforme digitale distribuite.
Totodată fondarea unor organisme legislative gen "Cloud Security Alliance" sau "European Cloud Partnership" anunță pregătirea cadrului legal pentru vastul domeniu ce se anunță a fi IoT-ul.
de George Rus , Daniela Fati
de Adrian Ulici
