Czy Internet Wszechrzeczy będzie bezpieczny ?

Internet Wszechrzeczy (IoE - Internet of Everything) to przyszłościowa koncepcja rzeczywistości, w której do sieci Internet podłączone zostanie to, co obecnie pozostaje poza nią. Umożliwi on powstanie nowych interakcji – tzw. efektu sieciowego - pomiędzy ludźmi i przedmiotami, które stworzą nowe możliwości rozwoju naszego społeczeństwa.

We współczesnym świecie tylko 1% urządzeń jest podłączony do Internetu.

Wyobraźmy sobie, jak zmieni się nasze życie, gdy do sieci podłączonych będzie większość urządzeń codziennego użytku, miliardy czujników, systemów informacyjnych oraz inne elementy naszego otoczenia. Stworzy to nowe możliwości, zmieni i usprawni procesy, a w efekcie uwolni pokłady innowacyjności. Dzięki temu ludzkość rozwijać będzie się jeszcze szybciej niż w XX wieku.

A wszystko to możliwe będzie dzięki inteligentnej i niezawodnej sieci, która będzie miała zdolność uczenia się i reakcji w zależności od kontekstu sytuacji.

Czujniki deszczu, temperatury, ciśnienia i siły wiatru wykryją zmianę pogody i przy użyciu sieci zapoczątkują serię zmian w naszym otoczeniu. Przykład? Firma budowlana zmieni harmonogram prac i automatycznie zmieni się harmonogram dostaw materiałów budowlanych. Wycieczka naszych dzieci do ZOO zostanie przeniesiona na inny termin, a one spędzą ten czas na sali gimnastycznej. Równocześnie o tym fakcie poinformowani zostaną rodzice i dzięki temu będą mogli skorygować swoje popołudniowe plany. Sygnalizacja świetlna zostanie tak przeorganizowana, aby lepiej dostosować się do zmieniających się warunków na drodze. Jeżeli pojawi się zapowiedź deszczu, okna w naszym domu zostaną automatycznie zamknięte, a zaplanowane na wieczór podlewanie ogródka zostanie wyłączone.

Czy Internet Wszechrzeczy będzie bezpieczny ?
Czy Internet Wszechrzeczy będzie bezpieczny ?

„Każdy-z-każdym”

W Internecie Wszechrzeczy dominować będzie komunikacja bezpośrednia pomiędzy systemami w modelu „każdy-z-każdym”. W każdej sekundzie tworzyć się będą miliardy miliardów nowych interakcji i przepływów danych pomiędzy różnymi systemami i urządzeniami. To z kolei rodzi nowe wyzwanie, którym jest zachowanie bezpieczeństwa informacji i systemów. Skutki naruszenia bezpieczeństwa działania systemów mogą być wielokrotnie bardziej poważnie i trudne do przewidzenia niż obecne. Zastanówmy się, co by się stało, gdyby przestępca przejął kontrolę nad systemem sterowania ruchem drogowym lub systemem kontroli dostępu w dużym biurowcu, blokując windy, wyjścia i przejścia. Bezspornie, bezpieczeństwo sieciowe jest wyzwaniem numer jeden dla IoE.

„Big Data”

W Internecie Wszechrzeczy dane i usługi będą dostarczane w modelu „z chmury” poprzez centra danych o zasięgu globalnym przechowujące ogromne ilości danych.

W raporcie Cisco „2013 Annual Security Report” (http://www.cisco.com/ en/US/prod/vpndevc/annual_security_report.html ) przewiduje się, że w ciągu najbliższych 5 lat ruch do globalnych centrów danych zwiększy się czterokrotnie, a usługi „z chmury” stanowić będą jego dwie trzecie. Dotychczasowe modele bezpieczeństwa - oparte o tradycyjne zapory ogniowe, zabezpieczenie brzegu centrum danych i brzegu sieci - przestaną się sprawdzać w środowisku, w którym potężne wolumeny danych będą znajdować się w permanentnym ruchu pomiędzy centrami danych a użytkownikami. O zmianie modelu bezpieczeństwa można przeczytać w moim wpisie na blog.cisco.pl w artykule Do widzenia …. „Perimeter” (http://blog.cisco.pl/2012/11/03/do-widzenia-perimeter/).

Generacja Y

Kolejnym wyzwaniem dla bezpieczeństwa IoE są młodzi pracownicy (Generacja Y), dla których priorytetem jest możliwość pracy w dowolnym miejscu, w dowolnym czasie, z dowolnego urządzenia, z dostępem do dowolnych danych i aplikacji.

Generacja Y ma o 180 stopni odmienne podejście do bezpieczeństwa niż generacja obecnych 30, 40 i 50-latków. Dla generacji Y bezpieczeństwo oparte jest na zasadzie „wszystko jawne, tylko niektóre informacje poufne”, dla starszych pracowników obowiązuje zasada „wszystko poufne, tylko niektóre informacje jawne”. Jest to diametralnie inne podejście do ochrony informacji i bezpieczeństwa, np. do ochrony tożsamości w sieci. Widać to wyraźnie na przykładzie mediów społecznościowych, które dla młodego pokolenia praktycznie zastąpiły alternatywne środki komunikacji takie jak telefon czy e-mail. Media te przestały być tylko domeną życia prywatnego i coraz silniej wykorzystywane są w życiu zawodowym.

Media społecznościowe poprzez fakt, że informacje rozprzestrzeniane tą drogą docierają natychmiast do znacznej grupy ludzi, poprzez wykorzystanie technik manipulacji informacjami, mogą stać się narzędziem ataku cyberterorystów. Wyobraźmy sobie, jak przekazywanie spreparowanych informacji na temat konkretnych rzeczywistych zdarzeń może wywołać stan paniki, społecznego poruszenia lub konkretnych zachowań inwestorów na giełdzie.

W sierpniu 2012 roku Cisco przeprowadziło w 18 krajach (w tym również w Polsce) badanie ankietowe obejmujące 1 800 młodych pracowników i studentów w wieku od 18 do 30 lat oraz 1 800 profesjonalistów branży IT. Wyniki zostały opublikowane w rocznym raporcie na temat bezpieczeństwa. 91% ankietowanych uważa, że czasy prywatności w sieci skończyły się, ale jednocześnie 1/3 w ogóle nie przejmuje się tym, jakie informacje na ich temat znajdują się w Internecie. 81% respondentów uważa, że ludzie posługują się w Sieci inną tożsamością niż w świecie rzeczywistym. 71% nie przestrzega zasad i zaleceń dotyczących bezpieczeństwa w Internecie, a 50% w celach prywatnych świadomie łamie zasady bezpieczeństwa informacyjnego w przedsiębiorstwie, w którym pracuje.

Czy Internet Wszechrzeczy będzie bezpieczny ?
Czy Internet Wszechrzeczy będzie bezpieczny ?

BYOD (Bring Your Own Device)

Wraz z młodymi pracownikami do przedsiębiorstw przenikają nowe urządzenia mobilne, które mogą łączyć się z siecią korporacyjną. Mobilne urządzenia i aplikacje oraz stałe podłączenie do sieci Internet dają nam przedsmak tego, jak będzie wyglądał IoE i jakie możliwości da ludziom. Bezpieczeństwo danych jest bezsprzecznie stawiane na czele wyzwań, jakie generuje trend BYOD dla działów IT w przedsiębiorstwach.

Jest to przede wszystkim bezpieczeństwo danych służbowych przechowywanych na urządzeniu pracownika w postaci danych aplikacji mobilnych oraz plików, które są pobierane z serwerów przedsiębiorstwa do pamięci urządzenia mobilnego. Druga kategoria zagrożeń związana jest z webowym kodem złośliwym, którego źródłem może być urządzenie lub oprogramowanie prywatne pracownika podłączone do sieci korporacyjnej, np. drogą bezprzewodową. Zagrożenie to staje się coraz bardziej realne - w ostatnim rocznym raporcie bezpieczeństwa firmy Cisco największy wzrost dostępności kodu złośliwego (web malware) zanotowany został dla platformy Android. Ostatnie zagrożenie to trudniejsza kontrola tego, kto korzysta z sieci przedsiębiorstwa w sytuacji, kiedy pojawia się duża ilość prywatnych urządzeń pracowników, często nieznanych z punktu widzenia IT. Bez właściwych narzędzi identyfikacji, uwierzytelniania i kontroli dostępu do sieci prowadzi to zwykle do rozluźnienia polityki bezpieczeństwa i powstania wielu niezabezpieczonych dziur w dostępie do sieci.

Stawiam tezę, że w większości przedsiębiorstw, które chcą być konkurencyjne, innowacyjne oraz zatrudniać zadowolonych pracowników, nie ma ucieczki od BYOD (Bring Your Own Device) - zatem, w jaki sposób okiełznać to zjawisko i umożliwić pracownikom używanie własnych urządzeń mobilnych w sieci przedsiębiorstwa w sposób bezpieczny i wydajny z punktu działania IT?

Bezpieczeństwo rozwiązania powinno bazować na dwóch fundamentach.

Po pierwsze, zabezpieczenie samego urządzenia poprzez włączenie go do firmowego systemu MDM (Mobile Device Management) i wymuszenie tym samym na urządzeniu przenośnym (bez względu na to, czy jest to urządzenie służbowe, czy prywatne pracownika) korporacyjnego profilu bezpieczeństwa zgodnego z polityką bezpieczeństwa firmy.

Po drugie, zapewnienie prywatnym urządzeniom kontrolowanego dostępu gościnnego do Internetu lub do wydzielonych zasobów sieci firmowej za pośrednictwem sieci wewnętrznej przedsiębiorstwa. Podstawą kontroli dostępu do sieci przedsiębiorstwa jest rzecz jasna identyfikacja tożsamości użytkownika, czyli uwierzytelnienie oraz autoryzacja na podstawie tej tożsamości. Sama informacja o tożsamości użytkownika jest jednak zbyt mało granularna, aby budować na niej skomplikowane polityki dostępu odzwierciedlające potrzeby biznesowe współczesnych przedsiębiorstw.

Użytkownicy mogą do pracy używać różnych urządzeń, w tym urządzeń prywatnych, mogą łączyć się z siecią z różnych miejsc oraz za pomocą różnych mediów, w różnych porach dnia. Tutaj z pomocą przychodzi bezpieczeństwo oparte o kontekst i realizacja dostępu na podstawie szeregu atrybutów, które są związane z osobą i urządzeniem. Polityka oparta o konteksty jest podstawą działania i siłą systemu kontroli dostępu do sieci Cisco ISE (Identity Control Engine).

„Efekt sieciowy”

Sieć odgrywa kluczową rolę w Internecie Wszechrzeczy. Musi ona stanowić inteligentną, łatwą w zarządzaniu i bezpieczną infrastrukturę, którą można skalować tak, by obsługiwała miliardy urządzeń. Wszyscy rozumiemy, że istnieją bardzo realne zagrożenia i wyzwania związane z IoE. Na ich czele jest ochrona prywatności w świecie „hiperpołączeń” – musimy tym wyzwaniom stawić czoła, aby umożliwić rozwój społeczeństwa na skalę dotąd niespotykaną.

Autorem tekstu jest Maciej Flak, specjalista ds. sprzedaży odpowiedzialny za rozwój produktów Borderless Network CISCO Systems

Pracuje w polskim biurze Cisco Systems od 2006 roku. Od samego początku związany jest z organizacją techniczną Cisco Polska – pełnił funkcje inżyniera systemowego i managera zespołu technicznego, a obecnie specjalisty ds. sprzedaży odpowiedzialnego za rozwój rynku produktów Borderless Network, w tym produktów z obszaru bezpieczeństwa oraz sieci bezprzewodowych. W 1997 ukończył Politechnikę Wrocławską i od tego czasu nierozerwalnie związany jest z technologiami sieciowymi, pracując w firmach integratorskich oraz telekomunikacyjnych (Computerland S.A., Formus Polska, Telefonia Dialog S.A.). Posiadacz certyfikatu CISSP (Certified Information Systems Security Professional) oraz CCIE (Cisco Certified Internetwork Expert) z zakresu R&S oraz SP. Prelegent konferencji Cisco Forum oraz Cisco Expo.

DLP expert magazyn
DLP expert 1/2013

Tekst pochodzi z magazynu DLP expert 1/2013 (4)- który bezpłatnie można pobrać ze strony: https://www.dlp-expert.pl/magazine

Źródło: Redakcja