Japońska agencja rządowa włamie się do IoT

Pretekstem do tych niekonwencjonalnych działań są zbliżające się Letnie Igrzyska Olimpijskie w Tokio, które będą za rok. Władze chcą zapewnić bezpieczeństwo i wytypowały aplikacje IoT jako zagrożenie.

Problemy z bezpieczeństwem wynikają z wielu przyczyn. Od zwykłego lekceważenia zasad bezpieczeństwa przez użytkowników, którym nie chce się zmienić domyślnych nazw użytkownika i haseł, błędów w oprogramowaniu, braku nadzoru nad komunikacją i aktualizacjami oprogramowania oraz prostotą takich aplikacji, które zwykle nie mają wyrafinowanych zabezpieczeń.

Planowanej akcji przyklasnęli eksperci branżowi, a cała reszta pomysł mocno skrytykowała, postrzegając go jako naruszenie prywatności i działanie nieetyczne. Nie zabrakło porównań do Chin, gdzie społeczeństwo jest pod stałym nadzorem i inwigilacją prowadzoną przez władze w imię bezpieczeństwa. Inni doszukiwali się powiązań z aferą Huawei i spekulowali, że jej częścią może być kontrola, czy aplikacje IoT i sprzęt komunikacyjny nie są wykorzystywane do szpiegowania. Aby uciąć spekulacje nt. legalności takich działań, rząd Japonii zmienił prawo tak, aby akcja była legalna.

Program ma się skupić głównie na kamerach i elementach sieci komunikacyjnych, zajmie on 5 lat, a dane na temat wrażliwych urządzeń będą przesyłane do operatorów i użytkowników. Ma to być prosta koncepcyjnie akcja prewencyjna, bo japońscy użytkownicy są zwykle ignorantami, dla których ustawienie hasła dostępu to zbyt dużo zachodu.

Opisana akcja pokazuje, że obszar aplikacji IoT będzie w przyszłości poligonem, na którym będą się ścierać dwa podejścia. Pierwsze to takie, że urządzenia muszą być proste w instalacji i użytkowaniu, bo są kierowane do konsumentów, a więc osób mało zaawansowanych technicznie i nieświadomych potencjalnych zagrożeń. Takie osoby nie kupią produktu, który przysporzy im problemów. Dlatego producenci elektroniki muszą im iść na rękę, zapewniając automatyczną konfigurację i prostotę korzystania. Z punktu widzenia bezpieczeństwa takie działania oznaczają osłabianie ochrony. Aplikacje kierowane na rynek konsumencki muszą być tanie, co niestety ogranicza dostępne zasoby sprzętowe.

Drugie podejście dotyczy tego, aby aplikacje miały rozbudowane zabezpieczenia po to, aby możliwość nieautoryzowanego ich wykorzystania była minimalna. Oznacza to rozbudowę oprogramowania, a więc większą złożoność, rozbudowę warstwy sprzętowej np. o bezpieczne chipy, układy szyfrujące i podobne.

Nietrudno dostrzec, że o kompromis w tych dwóch obszarach będzie trudno, bo na obu tych biegunach są sprzeczne potrzeby i interesy. Dlatego wydaje się, że zapewnienie bezpieczeństwa odbędzie się kosztem prywatności użytkowników. Akcja agencji NICT jest przykładem takich działań i to nie pierwszym, bo w dostępnych materiałach daje się znaleźć sygnały, że podobne działania były przeprowadzane też w innych krajach, tyle że bez takiego rozgłosu.

Za bardzo prawdopodobne można uznać powstanie narzędzi do wyszukiwania słabych punktów w aplikacjach i sieciach komunikacyjnych, zarówno w formie oprogramowania narzędziowego, jak też specjalizowanych platform, na których producenci będą rejestrować produkty po to, aby dalej były one wyszukiwane w trakcie działania i analizowane pod kątem, czy są bezpieczne. Taka rejestracja będzie wiązać się z podaniem identyfikatorów, domyślnych haseł i loginów, a może także zapewnieniem nieskrępowanego dostępu bez względu na ustawienia użytkownika. Wydaje się to trochę przerażające, ale Google, Facebook oraz inni giganci Internetu przekonali, że prywatność zawsze ustąpi wygodzie i biznesowi.

Robert Magdziak