Miről van szó?

Az árnyék IoT olyan okoseszközökre vonatkozik, amelyeket a munkavállalók az informatikusok tudta nélkül vesznek igénybe munkavégzés céljából, legyen szó saját mobiltelefonjukról vagy egyéb intelligens készülékeikről. Amennyiben az adott szervezetben még nem készült el a BYOD (Bring your own device, azaz „Hozd a saját eszközödet!”) szabályzat, mindez komoly kockázatokkal járhat – hívja fel a figyelmet Mike Raggo, a 802 Secure cég biztonsági vezetője.

Évek óta bevett szokás, hogy az alkalmazottak saját táblagépeikkel és mobilkészülékeikkel csatlakoznak a vállalati hálózathoz. Manapság pedig nem ritka az okoshangszórók, vezeték nélküli meghajtók és egyéb IoT-eszközök használata sem. Egyes munkahelyeken okostévé található a tárgyalókban, de van már példa az intelligens mikrohullámú sütő vagy kávéfőző használatára is a céges teakonyhákban.

Sőt, az ipari dolgok internetéhez (Industrial Internet of Things, IIoT) kapcsolódó szenzorokkal is egyre gyakrabban lehet találkozni az irodai hűtő-fűtő rendszereknél, amelyek vezérlése WiFi-kompatibilis termosztátokon keresztül is történhet. De nem ritkák a WiFi-s étel-italautomaták sem, amelyeknél például Apple Pay mobiltárcával lehet fizetni. Az ilyen és ehhez hasonló okosmegoldások használata szintén számos kockázattal járhat, amennyiben az adott vállalat IT-szakemberei nem tudnak ezekről.

Mennyire elterjedt?

A Gartner előrejelzése alapján 2020-ra 20,4 milliárd IoT-eszközt fognak használni világszerte, ami a 2017-es 8,4 milliárdos darabszámot tekintve nagymértékű növekedést jelent. Ezzel párhuzamosan tehát a kockázatok is erősödnek. 2017-ben a megkérdezett társaságok mindegyike úgy nyilatkozott, hogy észlelt már engedély nélkül használt készüléket a vállalati hálózaton, 90% pedig korábban nem észlelt IoT vagy IIoT vezeték nélküli hálózatok vállalati infrastruktúrától történő elkülönítését tapasztalta – áll a 802 Secure tavalyi jelentésében.

Egy 2018-as Infloblox tanulmány szerint az amerikai, a brit és a német cégek egyharmadánál naponta több mint 1.000 árnyék IoT-készülék csatlakozik a hálózathoz. A legjellemzőbb a fitneszeszközök (például a Fitbit karpánt) használata (49%), ezt követik a digitális asszisztensek (például Amazon Alexa és a Google Home; 47%), majd az okostévék következnek (46%). Az intelligens konyhai eszközök aránya sem elhanyagolható (33%), a sort pedig a játékkonzolok (például Xbox, PlayStation) zárják (30%).

Miért veszélyes?

A dolgok internetéhez kapcsolódó eszközöket sokszor nem látják el hatékony, beépített védelemmel. Az ilyen készülékek gyakran alapértelmezett azonosítókkal és jelszavakkal működnek, így a kiberbűnözők kedvelt célpontjait adhatják. Ha ezeket a készülékeket az informatikai részleg tudta nélkül használják a munkahelyeken, akkor gyakorlatilag láthatatlanok, így a belső szakemberek nem tudják ellenőrizni vagy biztosítani azokat. A kockázatok mértékét jól mutatja, hogy a Symantec adatai szerint az IoT-támadások száma 600%-kal nőtt 2018-ban az előző évhez képest.

A vállalati hálózatokhoz ilyen módon csatlakozó eszközök sérülékenyek, és könnyen megtalálhatók online keresőmotorok segítségével, például a Shodan-nal – mutat rá az Inflobox jelentése. A Shodan használatával még egyszerű keresőszavak megadásakor is részletes információkkal nyerhetők az azonosítható eszközökről. Így nem kell különösebben mélyreható informatikai tudás a készülékek megtalálásához, amelyek sebezhetőségének kihasználásával könnyedén támadás indítható az eszközök – és rajtuk keresztül a vállalati hálózatok – ellen.