Zaloguj
Współczesna technologia IoT nie jest tak bezpieczna, jak mogłaby być – a wynika to z faktu, że wiele urządzeń opracowywanych jest bez uwzględnienia (już na samym początku procesu projektowego) zagadnień ochrony cybernetycznej. Zabezpieczenia są często wprowadzane pod sam koniec rozwoju produktu, a takie podejście typu „last minute” prowadzi do nieprzewidzianych luk w bezpieczeństwie, które z kolei mogą zostać łatwo wykorzystane przez atakujących. Zgodnie z raportem pt. PSA Certified 2023 Security Report, liczba cyberataków dokonanych na rozmaite urządzenia typu „smart” potroiła się względem roku 2021.
Naruszenia bezpieczeństwa IoT obejmują szeroki zakres zdarzeń – od utraty danych osobowych pozyskanych przez atakujących ze zhakowanego urządzenia noszonego, aż po zagrożenie zdrowia lub życia w przypadku zaatakowania urządzeń medycznych, np. rozruszników serca czy pomp insulinowych.
Na szczęście branża elektroniczna nie stoi w miejscu. Kolejne przepisy prawne oraz normy są adaptowane do potrzeb rynku elektroniki, co tworzy solidną podstawę bezpieczeństwa systemów IoT. W wielu obszarach rynku ten fundament stanie się obowiązkowy. Podczas gdy z globalnego punktu widzenia podejście do bezpieczeństwa IoT jest niejako „rozdrobnione”, to coraz częściej pojawiają się także ujednolicone wymagania. Przykładowo: istnieją podobieństwa między dyrektywą UE dot. urządzeń radiowych i unijnymi ustawami o cyberbezpieczeństwie (Cyber Security Act) oraz odporności cybernetycznej (Cyber Resilience Act) – a ich odpowiednikami obowiązującymi na terenie USA, Wielkiej Brytanii, Singapuru, Finlandii czy Australii.
Wymaganiem leżącym u podstaw wielu tych przepisów jest uwzględnianie bezpieczeństwa już na najwcześniejszych etapach projektowania. Jeden ze standardów, które pomagają programistom osiągnąć ten cel, stanowi certyfikat PSA. PSA Certified, na czele którego stoi dostawca IP w zakresie rdzeni procesorów – Arm – oraz kilka globalnych, niezależnych laboratoriów testowych oferuje ramy bezpieczeństwa IoT, które wdrażają zaufaną ochronę dla układów scalonych, oprogramowania, usług i produktów końcowych. Układy nRF5340 SoC i nRF9160 SiP firmy Nordic uzyskały certyfikat PSA Level 2, a nRF52840 – PSA Level 1.
Bezpieczeństwo to równowaga
Ochrona kosztuje – a nawet przy wysokim budżecie nie sposób zagwarantować 100-procentowego bezpieczeństwa produktu. Jeśli cyberprzestępcy dysponują wystarczającą ilością czasu, pieniędzy i motywacji, ochrona każdego systemu IoT może zostać przez nich naruszona. Właśnie dlatego bezpieczeństwo to w istocie równowaga między kosztami a ryzykiem. Wdrożenie zabezpieczeń aplikacji IoT wymaga specyficznych umiejętności inżynieryjnych, dodatkowych zasobów w zakresie wyspecjalizowanych układów scalonych oraz bezpiecznego środowiska produkcyjnego. Wszystkie te elementy generują kolejne koszty. W praktyce opisywane wydatki muszą być zrównoważone w odniesieniu do realnego ryzyka (przy czym ryzyko stanowi iloczyn wpływu udanego ataku na działanie systemu oraz prawdopodobieństwa, że zostanie on przeprowadzony). Przykładowo: atak będzie miał istotny wpływ, jeśli wiąże się z utratą poufnych danych osobowych, ale może wiązać się z nim również duże prawdopodobieństwo, jeżeli dane te są interesujące, a urządzenie – z natury łatwe do złamania. W takim przypadku należy rozważyć implementację solidnych środków bezpieczeństwa, aby zmniejszyć ryzyko, ponieważ koszt bezpieczeństwa okaże się w istocie niższy niż koszt udanego ataku.
Ale nawet produkty o niskim ryzyku nie powinny pozostawać bezbronne. Podstawowa ochrona, taka jak bezpieczny rozruch i aktualizacja przeprowadzana z użyciem mechanizmu anti-rollback, to dobry początek. Bezpieczny rozruch (secure boot) zapewnia, że urządzenie weryfikuje, czy jego oryginalne oprogramowanie i wszelkie aktualizacje są autoryzowane oraz bezpieczne do uruchomienia. Funkcja anti-rollback zapobiega przywróceniu starszej (i potencjalnie podatnej) wersji oprogramowania sprzętowego.
Wyższe bezpieczeństwo można osiągnąć, izolując obszary, które muszą być silniej zabezpieczone, od tych, które zawierają mniej wrażliwe informacje. Pozostawienie mniej krytycznych obszarów ze stosunkowo słabą ochroną zmniejsza ogólny koszt zabezpieczeń bez nadmiernego zwiększania ryzyka generowanego przez system. Informacje z bezpiecznego obszaru można pozyskać za pośrednictwem interfejsu API, ale wszystkie krytyczne informacje pozostaną niedostępne nawet dla API. Przykładowo: niezabezpieczone środowisko przetwarzania (NSPE) może korzystać z API do szyfrowania danych bez dostępu do kluczy szyfrujących lub podstawowych zasobów implementacji kryptograficznej bezpiecznego środowiska przetwarzania (SPE). Urządzenie może również zawierać bezpieczną pamięć do przechowywania krytycznych danych i zasobów.
Każdy produkt IoT powinien umożliwiać jednoznaczną identyfikację i dostarczyć dowody, że faktycznie jest urządzeniem, za które się podaje. Taka identyfikacja zapobiega dołączaniu nieautoryzowanych urządzeń do sieci i otwieraniu w ten sposób luk w zabezpieczeniach. Co więcej, każde urządzenie powinno implementować odpowiednie algorytmy kryptograficzne niezbędne do zapewnienia bezpiecznej komunikacji, bez ujawniania współpracującej z nim aplikacji takich danych, które mogłyby zostać wykorzystane przez atakującego. I wreszcie – ważne jest, aby bezpieczeństwo było brane pod uwagę na wszystkich etapach cyklu życia produktu, a nie dopiero wtedy, gdy jest już on eksploatowany. Równie ważne okazuje się zatem odpowiednie podejście do debugowania, uruchamiania czy konfiguracji.
Cztery kroki na drodze do bezpieczeństwa cybernetycznego
Z perspektywy projektanta bezpieczeństwo może być postrzegane jako „zabawa” skomplikowana i kosztowna. Dołączenie kwestii bezpieczeństwa do harmonogramu projektu jest w stanie nawet zagrozić wydłużeniem czasu wprowadzania produktu na rynek. Certyfikowany przez PSA framework bezpieczeństwa IoT rozwiązuje te problemy, oferując ujednolicone podejście do bezpieczeństwa IoT na wszystkich etapach – od projektu do certyfikacji.
Framework PSA upraszcza strategię bezpieczeństwa poprzez podzielenie jej na cztery etapy:
- modelowanie zagrożeń i analizę bezpieczeństwa („analiza”),
- specyfikację sprzętu i oprogramowania układowego („architektura”),
- implementację kodu źródłowego oprogramowania układowego („implementacja”),
- niezależne testowanie („certyfikacja”).
Aby zilustrować działanie opisywanej struktury, rozważmy proces modelowania zagrożeń. Pierwszy krok stanowi zidentyfikowanie zasobów, które wymagają ochrony – są to takie elementy, jak klucze szyfrowania, certyfikaty identyfikacyjne i niektóre dane. Następnie programista powinien zastanowić się, w jaki sposób dane zasoby mogą zostać zaatakowane, na przykład poprzez atak na sieć lub bezpośrednio przez interfejs układu scalonego. Trzecim krokiem jest analiza ryzyka (iloczyn wpływu oraz prawdopodobieństwa). Elementy lub dane, które są najbardziej narażone na atak, to te, którym należy przyjrzeć się z największą uwagą. Ostatni krok to właściwa implementacja – czyli zastanowienie się, co dokładnie musi zrobić programista, aby zabezpieczyć produkt przed atakiem.
Projektant może na przykład uznać, że jego aktywami są: oprogramowanie układowe, dane uwierzytelniające oraz logi systemowe. W przypadku oprogramowania układowego wymaganiem bezpieczeństwa jest integralność, a zagrożeniem – manipulacja. Słabym punktem może być złośliwe oprogramowanie, błąd w firmware, luki w pamięci masowej, niezabezpieczony interfejs JTAG czy wreszcie brak odpowiednich zabezpieczeń podczas aktualizacji oprogramowania układowego urządzenia. Efektem wykorzystania którejkolwiek z tych luk jest możliwość zapisania w pamięci złośliwego oprogramowania, a następnie uruchomienia rozproszonego ataku typu DDoS. Jednym ze sposobów łagodzenia ryzyka takiego ataku byłoby wdrożenie bezpiecznego bootloadera. Takie oprogramowanie zapewnia, że nawet jeśli złośliwe oprogramowanie zostanie zainstalowane za pośrednictwem luki, to i tak nie będzie ono uruchomione.
Po zakończeniu modelowania zagrożeń deweloper musi określić sprzęt i oprogramowanie, które pozwolą zaimplementować obsługę pożądanych mechanizmów obronnych przed zagrożeniami zidentyfikowanymi na etapie wcześniejszym. Jeśli zatem modelowanie zagrożeń ujawni potrzebę zastosowania akceleratora kryptograficznego, bezpiecznego przechowywania i izolacji, odpowiednim rozwiązaniem może okazać się oparcie produktu na układach typu nRF9160 lub nRF5340 firmy Nordic, mających certyfikację PSA i skutecznie wdrażających najlepsze praktyki w tym zakresie.
Uzyskiwanie certyfikacji
Tworzenie produktów bazujących na układach z certyfikatem PSA ułatwia uzyskanie certyfikacji produktu końcowego. Istnieją trzy poziomy certyfikacji, obejmujące układy scalone, oprogramowanie systemowe i urządzenia końcowe. nRF9160 i nRF5340 firmy Nordic mają certyfikat PSA poziomu 2, a nRF52840 – poziomu 1, co pokazuje, że implementują one tzw. PSA-Root of Trust (RoT). Oprogramowanie systemowe (na przykład system operacyjny czasu rzeczywistego, RTOS) używa PSA-RoT do implementacji własnych zabezpieczeń. Programista może następnie opracować produkt końcowy przy użyciu certyfikowanego układu scalonego i oprogramowania systemowego.
Produkty końcowe zbudowane w oparciu o układy i oprogramowanie z certyfikacją PSA mogą dziedziczyć owe certyfikaty. Warto też dodać, że certyfikat PSA jest zgodny ze standardami i przepisami wymaganymi przez rynki międzynarodowe, w tym ETSI EN 303645 i NIST 8259A. Spełnienie norm branżowych stanowi nieocenioną pomoc podczas ubiegania się o certyfikację wyrobu końcowego, zmniejsza narzut inżynieryjny i skraca czas wprowadzania produktów na rynek.
Podsumowanie
Ochronę urządzeń IoT przed złośliwymi atakami można zagwarantować tylko poprzez uwzględnienie zabezpieczeń na najwcześniejszych etapach projektowania. Certyfikat PSA zapewnia, że układy marki Nordic zawierają sprawdzone i zaufane mechanizmy ochronne, dzięki czemu projektanci mogą łatwiej zapewnić niezbędny poziom bezpieczeństwa swoich urządzeń.
