Bezpieczeństwo urządzeń IoT — luki, segmentacja sieci i obowiązki wynikające z RODO

Raspberry Pi 4 Model B — popularna platforma do własnych projektów IoT

Dlaczego urządzenia IoT są szczególnie narażone

Urządzenia IoT mają cechy, które utrudniają ich zabezpieczenie w tradycyjny sposób. Są często zasilane bateryjnie — zatem nie mogą pozwolić sobie na złożone operacje kryptograficzne. Ich zasoby obliczeniowe są ograniczone, a cykl życia — często kilkuletni — może przekroczyć czas wsparcia producenta aktualizacjami oprogramowania. Dochodzi do tego skala: sieć domowa, która kiedyś liczyła dwa-trzy urządzenia, teraz może zawierać kilkanaście lub kilkadziesiąt podłączonych punktów końcowych.

Każde z tych urządzeń — jeśli nieodpowiednio skonfigurowane lub pozbawione aktualizacji — może stanowić punkt wejścia do sieci lokalnej lub stać się elementem botnet wykorzystywanego do ataków DDoS.

Najczęstsze luki w zabezpieczeniach

Domyślne dane logowania

Wiele urządzeń jest dostarczanych z fabrycznie ustawionymi hasłami, identycznymi dla całej serii produktów (np. "admin/admin" lub "1234"). Atakujący skanują sieć w poszukiwaniu takich urządzeń za pomocą narzędzi jak Shodan — publicznie dostępnej wyszukiwarki podłączonych urządzeń. Europejski standard ETSI EN 303 645 wymaga, by urządzenia konsumenckie IoT nie mogły posiadać domyślnych powtarzalnych haseł.

Brak szyfrowania transmisji

Starsze urządzenia — szczególnie z segmentu ekonomicznego — przesyłają dane czujników bez szyfrowania, w protokołach takich jak nieszyfrowany MQTT (port 1883) lub HTTP. Analiza ruchu sieciowego takich urządzeń pozwala na ustalenie wzorców zachowań domowników (kiedy wychodzą, kiedy są w domu, kiedy śpią).

Brak mechanizmu aktualizacji

Urządzenia bez mechanizmu automatycznych aktualizacji oprogramowania firmware szybko stają się przestarzałe pod względem bezpieczeństwa. Standard ETSI EN 303 645 określa, że urządzenia powinny obsługiwać bezpieczne, kryptograficznie podpisane aktualizacje oprogramowania.

Nadmiarowe uprawnienia aplikacji

Aplikacje mobilne towarzyszące urządzeniom IoT często żądają uprawnień nieproporcjonalnych do swojej funkcji — dostępu do kontaktów, mikrofonu lub lokalizacji. Warto analizować uprawnienia przed instalacją i kierować się zasadą minimalnych uprawnień.

Segmentacja sieci — podstawowa metoda ochrony

Segmentacja polega na umieszczeniu urządzeń IoT w oddzielnej sieci (VLAN lub sieci gościnnej routera) odizolowanej od sieci, w której działają komputery z danymi wrażliwymi. Nawet jeśli urządzenie IoT zostanie przejęte, atakujący nie uzyska bezpośredniego dostępu do danych bankowych, dokumentów czy haseł przechowywanych na komputerze.

Konfiguracja techniczna: Większość routerów klasy konsumenckiej z oprogramowaniem OpenWrt lub DD-WRT obsługuje VLAN. Bardziej zaawansowane routery (np. Ubiquiti UniFi, MikroTik) pozwalają na precyzyjne reguły firewalla między segmentami — np. zablokowanie komunikacji urządzenia IoT z internetem z wyjątkiem serwerów producenta.

Firewall i reguły ruchu

Oprócz segmentacji przydatne jest ograniczenie ruchu wychodzącego z sieci IoT wyłącznie do znanych adresów IP serwerów producenta. Niektóre urządzenia wymagają dostępu do zewnętrznych serwerów czasu (NTP) i DNS — te połączenia należy uwzględnić w regułach, pozostałe zablokować.

RODO a dane zbierane przez urządzenia IoT

Dane o aktywności domowników zbierane przez czujniki obecności, temperatury lub konsumpcji energii mogą stanowić dane osobowe w rozumieniu RODO (rozporządzenie 2016/679), jeśli umożliwiają identyfikację osoby fizycznej lub wnioskowanie o jej zachowaniach.

Wynikające z tego obowiązki obejmują:

  • Informowanie — użytkownicy muszą być poinformowani, jakie dane są zbierane i w jakim celu;
  • Minimalizacja danych — zbieranie tylko tych danych, które są niezbędne do realizacji funkcji urządzenia;
  • Prawo do usunięcia — producent musi zapewnić możliwość żądania usunięcia zebranych danych;
  • Bezpieczeństwo przetwarzania — dane muszą być chronione adekwatnymi środkami technicznymi i organizacyjnymi.

Urząd Ochrony Danych Osobowych (UODO) opublikował wytyczne dotyczące stosowania RODO w kontekście urządzeń IoT dostępne na stronie uodo.gov.pl.

Europejski Akt o Cyberodporności

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 — Europejski Akt o Cyberodporności (CRA) — wchodzi w życie stopniowo do 2027 roku. Nakłada na producentów urządzeń z elementami cyfrowymi (w tym urządzeń IoT) obowiązek zapewnienia bezpieczeństwa przez cały cykl życia produktu, zgłaszania aktywnie exploatowanych luk do ENISA oraz udzielania aktualizacji bezpieczeństwa przez określony czas. Szczegóły dostępne na stronie Komisji Europejskiej.

Źródła