Internet věcí jako slabé místo pro domácnosti a firmy. Snadno napadnutelná je fotovoltaika, elektroměry, chytré zámky, ale i kávovary nebo nečekané věci jako akvarijní teploměr

Chytrá zařízení připojená k internetu představují dlouhodobě bezpečnostní hrozby. Například chytré elektroměry – u nichž existuje reálné riziko, že při napadení mohou způsobit vážné poruchy či dokonce blackout v rozsahu celé sítě. Stejně riziková jsou však i další zařízení – dveřní zámky, osvětlení, termostaty, ohřívače vody, ledničky nebo fotovoltaické elektrárny a bateriová úložiště. Všechny lze totiž na dálku ovládat skrze chytré telefony a cloudová rozhraní, která jsou častým terčem útoků.

„Podobné hrozby se přenášejí i do firemního prostředí. Zde mohou být cílem útočníků nejen běžné počítače, ale také síťové tiskárny, kávovary, bezpečnostní kamery, přístupové systémy nebo firemní vozový park. Známé jsou již případy zneužití například hlasového ovládání, kdy bylo zařízení nastaveno k přenosu dat bez vědomí uživatele. U multifunkčních tiskáren pak dochází k automatickému přeposílání naskenovaných dokumentů na cizí e-mailové adresy. Známý je také případ hacknutí firmy, při němž útočníci využili zranitelnost v chytrém akvarijním teploměru,“ říká Roman Kümmel z Počítačové školy GOPAS.

„Napadnout se dá v podstatě každé zařízení, které nějakým způsobem komunikuje – ať už přes internet, nebo lokálně po vnitřní sběrnici. Kvůli tlaku na rychlou výrobu a nízké ceny jsou přitom často využívány levné komponenty bez důkladného bezpečnostního návrhu,“ upozorňuje Pavel Bursa ze společnosti Resacs.

Existují dokonce veřejně dostupné databáze, kde lze vyhledat IP adresy zranitelných zařízení podle výrobce, lokality nebo verze firmwaru. Hackeři často útočí tam, kde lze získat přímý přístup ke konkrétní firmě – nejčastěji kvůli průmyslové špionáži.

„Získání kontroly nad zdánlivě neškodným zařízením, jako je síťová tiskárna, přístupový systém nebo karta zaměstnance, může vést k úniku citlivých dat. Odborníci připomínají, že už v příštím roce může být podle kvalifikovaných odhadů více než čtvrtina všech kybernetických útoků na podniky založena právě na zranitelnostech v tzv. internetu věcí (IoT),“ říká Michal Černý z Audiopro.

V poslední době navíc vyvolal rozruch případ odhalení nezdokumentovaných komunikačních komponent v ovládacích prvcích některých fotovoltaických elektráren. Na rozdíl od telekomunikací a kritických částí 5G sítí, kde je přísně zakázáno používat komponenty některých čínských výrobců kvůli obavám z kybernetických hrozeb, toto neplatí u solárních elektráren a bateriových úložišť. Mnoho lidí a institucí si neuvědomuje rizika využití bateriových úložišť a komponentů vyrobených v Číně. A to rizika zejména kybernetické.

„Hardware i software je vyrobený v Číně, nelze však zjistit, kam se všude ukládají a posílají data. Nikdo tak nemůže vyloučit zneužití bateriových úložišť na úspěšnější útoky na kritickou energetickou infrastrukturu, ale i ochromení činnosti větších i menších firem a institucí či krádeže dat,“ říká Pavel Bursa ze společnosti Resacs.

Uživatelé tak často ani netuší, že jejich zařízení komunikuje s vnějším světem. Výběr spolehlivého dodavatele je proto klíčový. Tam, kde je to možné, bychom měli všechna chytrá zařízení oddělit do samostatných sítí, aby případná kompromitace neohrozila celé firemní nebo domácí prostředí.

„Zařízením, která nepotřebují internet pro svůj provoz, bychom měli komunikaci vhodně omezit pomocí firewallu. Další zásadní krok představuje pravidelná aktualizace softwaru – což je v praxi často podceňované. Realita je bohužel velmi vzdálená ideálu. Většina uživatelů firmware svých zařízení neaktualizuje vůbec, přestože právě tyto aktualizace často opravují známé bezpečnostní chyby,“ dodává Roman Kümmel z Počítačové školy GOPAS.