Experti spoločnosti Kaspersky Lab, ktorí skúmajú experimentálnu cloudovú infraštruktúru pre pokročilé bionické protézy, identifikovali niekoľko doteraz neznámych bezpečnostných problémov, ktoré by mohli umožniť tretej strane prístup, manipuláciu, krádež alebo dokonca vymazanie súkromných údajov z týchto zariadení. O svoje zistenia sa podelili s výrobcom Motorica, ruským špičkovým technologickým start-upom, ktorý vyvíja bionické protézy horných končatín.
Internet vecí už nie je len o pripojených inteligentných hodinkách alebo inteligentných domoch, ale týka sa aj pokročilých, komplexných a stále viac automatizovaných ekosystémov, medzi ktoré patria aj technológie v oblasti zdravotnej starostlivosti. Je možné, že v budúcnosti tieto technológie nebudú výlučne podpornými zariadeniami, ale budú bežne využívané, a to najmä takými spotrebiteľmi, ktorí budú chcieť rozšíriť schopnosti bežného ľudského tela prostredníctvom procesu kybernetizácie. Je preto dôležité, aby boli akékoľvek bezpečnostné riziká, ktoré by potenciálne mohli útočníci zneužiť, minimalizované, a to pomocou skúmania a hľadania riešení bezpečnostných problémov v súčasných produktoch a ich podpornej infraštruktúre.
Analytici spoločnosti Kaspersky Lab, ktorí sa zameriavajú na kyberbezpečnosť systémov priemyselného riadenia (ICS CERT), v spolupráci s firmou Motorica vyhodnocovali úroveň zabezpečenia testovacieho softvérového riešenia pre digitálnu protetickú ruku vytvorenú ruským start-upom. Samotné riešenie predstavuje vzdialený cloudový systém, rozhranie na monitorovanie stavu všetkých registrovaných biomechanických zariadení. Poskytuje tiež ďalším vývojárom súbor nástrojov na analýzu technického stavu zariadení, ako sú inteligentné invalidné vozíky alebo umelé ruky a nohy.
Prvotná analýza identifikovala niekoľko bezpečnostných rizík, ktoré zahŕňajú nezabezpečené http pripojenie, nesprávne operácie na danom účte a nedostatočné overovanie vstupov. Pri používaní protetickej ruky dochádza k prenosu dát do cloudového systému. Vzhľadom na nedostatky v zabezpečení môže útočník:
- Získať prístup k informáciám o všetkých pripojených účtoch uchovávaných v cloude (vrátane prihlasovacích údajov a hesiel v nešifrovanom texte pre všetky protetické zariadenia a ich administrátorov)
- Manipulovať, pridávať alebo odstraňovať takéto informácie
- Pridať alebo odstrániť vlastných pravidelných a privilegovaných používateľov (s právami administrátora)
„Motorica je špičková technologická, dôveryhodná a sociálne zodpovedná spoločnosť zameraná na riešenie problémov, ktorým čelia ľudia s telesným postihnutím. Keďže sa firma pripravuje na rast, chceli sme jej pomôcť, aby v rámci zabezpečenia implementovala správne bezpečnostné opatrenia. Výsledky našej analýzy sú varovným signálom, že bezpečnostné prvky musia byť zakomponované do nových technológií už od samého začiatku. Dúfame, že ďalší vývojári pokročilých pripojených zariadení budú chcieť spolupracovať s bezpečnostným odvetvím s cieľom pochopiť a riešiť bezpečnostné problémy zariadení a systémov a pristupovať k bezpečnosti zariadení ako k neoddeliteľnej a nevyhnutnej súčasti ich vývoja,“ povedal Vladimir Dashchenko, bezpečnostný analytik spoločnosti Kaspersky Lab z tímu ICS CERT.
„Nové technológie nám otvorili dvere do nového sveta bionických podporných zariadení. Pre vývojárov takýchto technológií je teraz veľmi dôležité spolupracovať s poskytovateľmi kyberbezpečnostných riešení. Vďaka tomu budú čo i len teoretické útoky na ľudské telo nemožné,“ poznamenal Ilya Chekh, výkonný riaditeľ spoločnosti Motorica.
Aby boli takéto zariadenia chránené, odporúčame firmám:
- Oboznámiť sa s modelmi hrozieb a klasifikáciou zraniteľností pre príslušné webové technológie ako aj technológie internetu vecí, ktoré poskytujú odborníci z odvetvia, ako napríklad projekt OWASP IoT.
- Zaviesť postupy vývoja pre zabezpečenie softvéru, ktoré sú založené na skutočnom životnom cykle. Použiť systematický prístup pri vyhodnocovaní existujúcich postupov bezpečnosti softvérov – napríklad OWASP OpenSAMM.
- Zaviesť postup pre získavanie informácií o príslušných hrozbách a zraniteľných miestach s cieľom zabezpečiť riadnu a včasnú reakciu na akékoľvek incidenty.
- Pravidelne aktualizovať operačné systémy, softvér aplikácií a zariadení a bezpečnostné riešenia.
- Implementovať kyberbezpečnostné riešenia navrhnuté na analýzu sieťovej prevádzky, detekciu a zabránenie sieťovým útokom – na rozmedzí podnikovej siete a tiež na rozmedzí prevádzkovej siete.
- Používať kyberbezpečnostné riešenie s technológiou detekcie anomálií pomocou strojového učenia (MLAD) na odhalenie odchýliek v správaní zariadení internetu vecí, ako napríklad včasné zistenie útoku, poruchy alebo poškodenia zariadenia.
Štúdia v plnom znení je dostupná na stránke Securelist.com.
Bionické technológie neustále napredujú vo vývoji, preto je dôležité preskúmať, aké bezpečnostné problémy by mohli obsahovať, aby ich bolo možné správne vyriešiť. Pre lepšie pochopenie toho, čo nám môže priniesť budúcnosť môžete naštíviť webovú stránku spoločnosti Kaspesky Lab Earth 2050 so zbierkou futuristických predpovedí.