Internet of Things (IoT), seperti halnya teknologi yang berkembang pesat, sedang mengalami sejumlah "penyakit pertumbuhan", di antaranya yang paling serius adalah masalah keamanan. Semakin banyak perangkat "pintar" yang terhubung ke jaringan, semakin tinggi risiko yang terkait dengan akses tidak sah ke sistem IoT dan penggunaan kemampuannya oleh penyerang. Saat ini, upaya banyak perusahaan dan organisasi di bidang TI ditujukan untuk menemukan solusi yang akan meminimalkan ancaman yang menghambat implementasi penuh IoT.
Cerdas tapi Rentan
Perkembangan konsep Internet of things dan implementasinya di berbagai bidang menyediakan kehadiran puluhan miliar perangkat yang berdiri sendiri. Menurut portal
Statista, pada tahun 2017 sudah ada lebih dari 20 miliar di antaranya, dan pada tahun 2025 setidaknya 75 miliar diharapkan Semua dari mereka terhubung ke Jaringan dan mengirimkan data yang sesuai dengan fungsi mereka melalui itu. Baik data dan fungsionalitas adalah target bagi penyerang, yang berarti mereka harus dilindungi.
Untuk perangkat IoT, keamanan terutama terdiri dari integritas kode, otentikasi pengguna (perangkat), penetapan hak kepemilikan (termasuk data yang dihasilkan oleh mereka), dan kemampuan untuk mengusir serangan virtual dan fisik. Tetapi pada kenyataannya, sebagian besar perangkat IOT yang bekerja hari ini tidak dilengkapi dengan fitur keamanan, mereka memiliki antarmuka kontrol eksternal, kata sandi default, yaitu, mereka memiliki semua tanda-tanda kerentanan web.
Kita masih ingat kejadian setahun yang lalu, ketika botnet Mirai, dengan memilih kombinasi login dan kata sandi default, meretas sejumlah besar kamera dan router, yang kemudian digunakan untuk serangan DDoS yang kuat pada jaringan penyedia Kantor Pos Inggris, Deutsche Telekom, TalkTalk, KCOM dan Eircom. Dalam hal ini, "bootforce" perangkat IoT dilakukan menggunakan Telnet, dan router diretas melalui port 7547 menggunakan protokol TR-064 dan TR-069.
Tapi yang paling resonan, mungkin, adalah serangan yang menempatkan operator DNS DYN, dan dengan itu hampir menjadi "setengah Internet" Amerika Serikat. Untuk serangan botnet, cara termudah digunakan melalui login perangkat dan kata sandi standar.
Kejadian-kejadian ini jelas menunjukkan kesenjangan dalam sistem IoT dan kerentanan banyak perangkat pintar. Jelas bahwa kegagalan jam tangan pintar atau pelacak kebugaran seseorang tidak akan banyak merugikan kecuali frustrasi pemiliknya. Tetapi peretasan perangkat IoT yang merupakan bagian dari sistem dan layanan M2M, khususnya, diintegrasikan ke dalam infrastruktur kritis, penuh dengan konsekuensi yang tidak terduga. Dalam hal ini, tingkat keselamatan mereka harus sesuai dengan pentingnya infrastruktur ini atau itu: transportasi, energi, atau lainnya, di mana aktivitas vital manusia dan perekonomian bekerja. Juga di tingkat rumah tangga - kegagalan dan serangan pada sistem rumah "pintar" yang sama dapat menyebabkan situasi darurat dan berbahaya bersama masyarakat setempat atau lainnya.
Tentu saja, ancaman terhadap infrastruktur juga ada di masa pra-Internet - misalnya, karena bencana alam yang sama atau kesalahan perancang. Namun, dengan munculnya perangkat yang terhubung ke Jaringan di dalamnya, satu lagi ditambahkan, dan mungkin urutan besarnya lebih serius - serangan dunia maya.
Sertifikasi perangkat
Masalah keamanan perangkat IoT yang ada tidak muncul karena kebodohan teknis atau kecerobohan pengembang mereka. Di sini telinga tetap berpegang pada perhitungan yang bijaksana: kecepatan memasuki pasar memberikan keunggulan dibandingkan pesaing, meskipun tidak lama, dan bahkan karena ambang keamanan yang rendah.
Sebagian besar produsen tidak repot-repot menghabiskan waktu dan uang untuk mengembangkan dan menguji kode dan sistem keamanan produk "pintar" mereka.
Salah satu cara untuk membuat mereka mempertimbangkan kembali sikap mereka terhadap keamanan produk IoT mereka adalah sertifikasi. Idenya bukanlah hal baru, tetapi masih patut mendapat perhatian, setidaknya ini setidaknya beberapa cara untuk menyelesaikan masalah. Prosedur sertifikasi untuk perangkat IoT tidak boleh birokratis dan memberikan jaminan kepada pembeli bahwa ia memiliki tingkat perlindungan tertentu terhadap serangan hacker. Untuk mulai dengan, kebutuhan untuk sertifikat keamanan dapat ditunjukkan ketika melakukan pengadaan negara dan perusahaan.
Saat ini, beberapa perusahaan swasta juga terlibat dalam masalah sertifikasi. Secara khusus, Aliansi Kepercayaan Online (OTA) mengambil inisiatif untuk menangani keamanan IoT di tingkat negara bagian dan pabrikan dengan merilis
Kerangka Kerja IoT Trust , daftar kriteria untuk pengembang, produsen perangkat, dan penyedia layanan yang berupaya meningkatkan keamanan, privasi, dan siklus hidup mereka. Produk IoT. Pertama-tama, ini difokuskan pada perangkat rumah, kantor, dan perangkat yang dapat dipakai yang terhubung dan merupakan semacam kode etik rekomendasi dan dasar untuk beberapa program sertifikasi dan penilaian risiko.
Tahun ini, divisi independen Verizon, ICSA Labs,
meluncurkan program pengujian keamanan dan sertifikasi perangkat IoT. Menurut pengembangnya, ini adalah yang pertama dari jenisnya, dan sedang menguji komponen seperti notifikasi / logging, kriptografi, otentikasi, komunikasi, keamanan fisik dan keamanan platform. Perangkat yang disertifikasi akan ditandai dengan tanda persetujuan Lab ICSA khusus, yang menunjukkan bahwa mereka telah diuji dan kerentanan yang ditemukan telah diperbaiki. Perangkat bersertifikasi juga akan dimonitor dan diuji secara berkala di sepanjang siklus hidupnya untuk menjaga keamanannya.
Pada gilirannya,
program pengujian dan sertifikasi UL Cybersecurity Assurance (CAP) bertujuan untuk memastikan keamanan produk dan sistem. Sertifikasi CAP menyatakan bahwa suatu produk atau sistem memberikan tingkat perlindungan yang wajar terhadap risiko yang dapat mengakibatkan akses, perubahan, atau kegagalan yang tidak disengaja atau tidak sah. Selain itu, CAP juga mengonfirmasi bahwa tambalan di masa mendatang, pembaruan, atau versi perangkat lunak baru untuk produk atau sistem bersertifikat tidak akan mengurangi tingkat perlindungan yang ada pada saat evaluasi.
Namun, banyak pakar keamanan IoT percaya bahwa manfaat terbesar dari program sertifikasi tersebut adalah ketika menguji tidak hanya perangkat tertentu, tetapi seluruh ekosistem: infrastrukturnya, aplikasinya, dll. Bagaimanapun, perangkat IoT yang teruji dan aman juga dapat gagal selama interaksi dalam sistem.
Memiliki keuntungan yang tidak dapat disangkal untuk pengembangan IOT, program sertifikasi memiliki kelemahan. Fakta semata-mata melewati perangkat uji dan ketersediaan sertifikat tidak dapat menjadi jaminan 100% keamanannya, karena, sangat mungkin, ia masih memiliki kekurangan tertentu. Keyakinan berlebihan pada sertifikat keamanan dapat memperdaya pengguna yang memiliki kebutuhan individu dan berbagai aplikasi untuk perangkat mereka, yang berarti risiko dan ancaman mereka sendiri. Dan, tentu saja, kemungkinan penyalahgunaan tidak dikecualikan. Tentunya ada produsen yang akan membayar "sertifikasi semu", mengejar tujuan komersial murni.
Tampaknya solusi global untuk masalah keamanan melalui sertifikasi memerlukan solusi pemersatu, insentif bersama bagi semua produsen untuk menghasilkan perangkat yang aman, dan konsumen tidak membeli yang keamanannya tidak dikonfirmasi oleh apa pun. Apa yang seharusnya - legislatif, ekonomi atau hukuman - belum diputuskan. Pada akhirnya, hasilnya adalah keamanan sistem IoT global.
Teknologi blockchain
Keamanan Internet sesuatu adalah salah satu area pertama penggunaan teknologi blockchain. Berkat teknologi registri terdistribusi, menjadi mungkin untuk memberikan tingkat keamanan yang tinggi untuk perangkat IoT di jaringan dan untuk menghilangkan pembatasan dan risiko yang ada untuk IoT yang terkait dengan sentralisasi.
Ini memungkinkan Anda untuk dengan cepat dan aman menyimpan protokol pertukaran dan hasil interaksi berbagai perangkat IoT dalam sistem desentralisasi. Ini adalah arsitektur terdistribusi dari blockchain yang menjamin keamanan yang cukup tinggi dari seluruh sistem IoT. Tetapi jika beberapa perangkat jaringan masih mengalami peretasan, secara umum, ini tidak akan mempengaruhi operasi keseluruhan sistem. Penggunaan yang disebutkan oleh botnet dari perangkat "pintar" yang bekerja dalam sistem IoT menjadi mungkin karena keamanannya yang lemah. Jenis kepercayaan terdistribusi memungkinkan Anda untuk menyingkirkan perangkat yang diretas tanpa kerusakan nyata pada seluruh model interaksi antara objek "sehat".
Dalam konteks keamanan, hari ini blockchain dapat digunakan di sejumlah area di mana Internet berkembang dengan sangat intensif. Sebagai contoh, ini adalah manajemen otentikasi, memeriksa kesehatan berbagai layanan, memastikan ketidakterpisahan informasi, dan lainnya. Pada awal tahun, sejumlah perusahaan terkemuka, termasuk Cisco, BNY Mellon, Bosch, Foxconn dan sejumlah lainnya, membentuk
konsorsium yang akan menemukan solusi untuk menggunakan blockchain untuk meningkatkan keamanan dan meningkatkan interaksi produk IoT. Tugas utama yang ditetapkan anggotanya untuk diri mereka sendiri adalah pengembangan atas dasar teknologi blockchain dari basis data terdistribusi dan protokol untuk pertukaran informasi antara perangkat IoT.
Perhatikan bahwa pada Januari 2017, DHS USA mulai menggunakan teknologi blockchain untuk melindungi, mengirim dan menyimpan data yang dikumpulkan oleh departemen dari kamera pengawas video dan berbagai sensor pemantauan. Teknologi ini juga sedang diuji oleh DARPA, sebuah divisi dari Departemen Pertahanan AS yang mengawasi pengembangan teknologi baru untuk tentara. Selain itu, salah satu lembaga yang melakukan penelitian di bawah atap Pentagon menandatangani kontrak senilai beberapa juta dolar dengan perusahaan perangkat lunak Galois, yang mengembangkan keamanan di bidang blockchain.
Hari ini sudah jelas bahwa akan sulit untuk menyadari semua kemungkinan bahwa konsep IoT dapat memberikan pengguna tanpa menyelesaikan masalah keamanan dan privasi. Metode melindungi IoT di atas, tentu saja, tidak lengkap, banyak kelompok, perusahaan dan penggemar sedang mencari solusi untuk masalah tersebut. Tetapi di atas semua itu, tingkat keamanan yang tinggi untuk perangkat IoT harus menjadi perhatian utama pabrikan mereka. Perlindungan yang andal pada awalnya harus datang sebagai bagian dari fungsi produk dan menjadi keunggulan kompetitif baru bagi produsen dan pemasok solusi IoT yang kompleks.