Ζούμε σε ένα συνδεδεμένο κόσμο. Είναι σπάνιο να περπατήσει κανείς στο δρόμο, να μπει σε οποιοδήποτε μέσο μαζικής μεταφοράς και να μη δει κάποιον να είναι απορροφημένος με το smartphone ή το tablet του. Αυτές οι συσκευές περιέχουν όχι μόνο ένα πλήθος αισθητήρων, αλλά επίσης και μια ποικιλία εφαρμογών λογισμικού που μπορεί να απαιτούν τη σύνδεση στο Διαδίκτυο. Οι εφαρμογές σε αυτές τις συσκευές μας βοηθούν να βλέπουμε την πρόγνωση του καιρού, να παρακολουθούμε τις τραπεζικές και χρηματιστηριακές συναλλαγές μας, να βλέπουμε τις πτήσεις της αεροπορικής εταιρίας μας, να διαβάζουμε ειδήσεις, να ακούμε ραδιόφωνο, ακόμα και να πληρώνουμε τον καφέ μας.
Δεν είναι μόνο τα smartphone που είναι συνδεδεμένα, καθώς όλο και περισσότερες συσκευές κάθε τύπου συνδέονται στο Διαδίκτυο, με αποτέλεσμα το Internet of Things (IoT) ένας όρος που επινοήθηκε από τον Kevin Ashton το 2009. Η ABI Research προβλέπει ότι μέχρι το 2020 θα μπορούσαν να υπάρχουν 30 δισεκατομμύρια συσκευές που συνδέονται ασύρματα στο Internet. Η Cisco εκτιμά ότι ο αριθμός αυτός θα μπορούσε να είναι πιο κοντά στα 50 δισεκατομμύρια στο ίδιο χρονικό διάστημα.
Οι συνδεδεμένες συσκευές περιλαμβάνουν οχήματα, οικιακές συσκευές, βιομηχανικό εξοπλισμό, ιατρικές συσκευές, απομακρυσμένους αισθητήρες στο περιβάλλον, έξυπνους μετρητές και μια μεγάλη ποικιλία από wearable συσκευές. Κάθε συνδεδεμένο αντικείμενο μπορεί να έχει περισσότερους (συχνά πολύ περισσότερους) από έναν ενσωματωμένους αισθητήρες. Σε ένα συνέδριο που φιλοξενήθηκε από το πανεπιστήμιο του Stanford τον Οκτώβριο του 2013, είχε προβλεφθεί ότι θα μπορούσαν να υπάρχουν πάνω από ένα τρισεκατομμύριο αισθητήρες σε λειτουργία το 2023.
Η συνδεσιμότητα στο Διαδίκτυο αυξάνει τους κινδύνους για την ασφάλεια
Η αυξημένη συνδεσιμότητα στο Διαδίκτυο συχνά συνεπάγεται σημαντικά αυξημένο κίνδυνο για την ασφάλεια λόγω της ποσότητας των δεδομένων που παράγονται από αυτούς τους αισθητήρες και τις δυνατότητες για κοινή χρήση αυτών των δεδομένων ευρέως. Υπάρχουν επίσης ερωτήματα σχετικά με το ποιος κατέχει τα δεδομένα που δημιουργούνται, που και πως οι πληροφορίες που δημιουργούνται μεταφέρονται και αποθηκεύονται, και ποιο επίπεδο ασφάλειας είναι απαραίτητο για τη διατήρηση της ιδιωτικής ζωής.
Ας δούμε ένα πρώιμο παράδειγμα για τα εγγενή προβλήματα με την συνδεδεμένη τεχνολογία: το Στέιτ Ντιπάρτμεντ των ΗΠΑ για πρώτη φορά άρχισε να εκδίδει διαβατήρια με βιομετρικά στοιχεία τον Αύγουστο του 2007. Τα έγγραφα αυτά περιείχαν ένα τσιπ RFID που – όπως αποκαλύφθηκε – θα μπορούσε να διαβαστεί από 10 μέτρα μακριά από συσκευές που θα μπορούσαν να να αγοραστούν στο eBay. Λίγο αργότερα το πρόβλημα αναγνωρίστηκε και τα διαβατήρια επαναδιαμορφώθηκαν για να ενσωματώσουν ένα πλέγμα αλουμινίου στα καλύμματα τους, ώστε να εμποδίσουν τέτοια ανάγνωση. Ακόμη και με αυτό το επίπεδο προστασίας ωστόσο, το chip RFID εξακολουθούσε να είναι αναγνώσιμο όταν το κάλυμμα ήταν ανοικτό για επιθεώρηση.
Ευπάθειες όπως αυτή είναι μόνο η κορυφή του παγόβουνου. Είμαστε ακόμα στην αρχή της επανάστασης του Internet of Things, αφού σχετικά λίγες μεμονωμένες συσκευές μπορούν να έχουν αισθητήρες. Η αύξηση του κινδύνου θα ανδρωθεί όταν τα ίδια τα αντικείμενα θα μπορούν να αρχίζουν να αναλαμβάνουν δράση με βάση τις επιθυμίες του χρήστη. Για παράδειγμα, είναι πλέον εύκολο να ρυθμίσουμε τη θέρμανση και την ψύξη του συστήματος του σπιτιού μας χρησιμοποιώντας το smartphone, το tablet ή τον υπολογιστή.
Στο μέλλον, ένα σύστημα οικιακού αυτοματισμού θα είναι σε θέση να ρυθμίσει τη θερμοκρασία με βάση την εγγύτητα του ιδιοκτήτη. Όταν το σπίτι είναι ακατοίκητο το καλοκαίρι, η θερμοκρασία μπορεί να επιτραπεί να αυξηθεί, με αποτέλεσμα την εξοικονόμηση ενέργειας. Όταν ο ιδιοκτήτης του σπιτιού θα ανιχνεύεται ότι φεύγει από την εργασία, το σύστημα κλιματισμού θα ενεργοποιείται αυτόματα, έτσι ώστε το σπίτι να ψύχεται στην επιθυμητή θερμοκρασία. Τι θα συμβεί όμως αν ένας κακόβουλος εισβολέας ή ένας μεμονωμένος χάκερ θα προσπαθήσει να πάρει τον έλεγχο της θερμοκρασίας του σπιτιού, καθιστώντας αδύνατη την ψύξη το καλοκαίρι και ζέστη το χειμώνα; Και τι θα συμβεί αν η επίθεση είναι γενικευμένη και επηρεάσει μια ολόκληρη περιοχή;
Όταν τα ψυγεία γίνουν συνδεδεμένα, τα δεδομένα που συλλέγονται για συγκεκριμένες αγορές τροφίμων θα μπορούσαν να οδηγήσουν σε συμπεράσματα σχετικά με την εθνοτική ή θρησκευτική κατάσταση ενός ατόμου, και αν υπάρχουν προβλήματα υγείας. Αν και τα δεδομένα θερμοκρασίας που αποκτήθηκαν από το ψυγείο είναι πιθανό να είναι αβλαβή, οι πληροφορίες που συλλέγονται από ιατρικούς αισθητήρες θα μπορούσαν να δημιουργήσουν προβλήματα, ειδικά αν συνδυάζονται με άλλες πληροφορίες.
Η σχετική εφαρμογή θα μας ειδοποιήσει για αυξημένες αγορές παγωτού που συνδέονται με μια αύξηση του σακχάρου στο αίμα μας, και οι εμφυτευμένοι ιατρικοί αισθητήρες θα ανιχνεύσουν την αύξηση του σωματικού βάρους. Από τη μία πλευρά, εμείς (και ο γιατρός μας) θα μπορούμε να προειδοποιηθούμε ότι πρέπει να ρυθμίσουμε τη διατροφή μας, προκειμένου να παραμείνουμε υγιείς. Από την άλλη πλευρά όμως, η ασφαλιστική εταιρεία μας μπορεί επίσης να να ενημερωθεί και να αυξήσει το ασφάλιστρο, λόγω του αυξημένου κινδύνου για την υγεία μας.
Είναι επίσης πιθανό ότι το ψυγείο μας ή άλλες συνδεδεμένες στο Διαδίκτυο συσκευές να ενσωματώνουν ήδη αισθητήρες που δεν είναι ενεργοί, όπως ένα μικρόφωνο ή μία κάμερα. Τι θα συμβεί αν ένας χάκερ θα μπορούσε να επιτρέψει την ενεργοποίηση τους εξ αποστάσεως για να διαπιστώσει αν είμαστε στο σπίτι ή ακόμα και να ακούσει τις συνομιλίες μας; Σχετικά ελαττώματα ασφαλείας για κάθε είδους συνδεδεμένες συσκευές έχουν ανακαλυφθεί πολλές φορές. Κάνοντας χρήση της Google είναι δυνατό να εντοπίσετε πολλές ακάλυπτες κάμερες σε όλο τον κόσμο, ενώ μια μηχανή αναζήτησης που ονομάζεται Shodan σχεδιάστηκε ειδικά για να βλέπουμε για τις συνδεδεμένες συσκευές όλων των τύπων.
Η δυνατότητα για τους χάκερ να είναι σε θέση να αποκτήσουν πρόσβαση σε έξυπνες συσκευές είναι πραγματική, και όχι απλώς θεωρητική απειλή, και αυτό δεν έχει σχέση μόνο με την ασφάλεια των συστημάτων, αλλά και με την άγνοια των χρηστών. Καθώς όλο και περισσότερες από αυτές τις συσκευές συνδέονται στο Internet, το πρόβλημα μπορεί να χειροτερέψει αν δεν εφαρμοσθούν τα κατάλληλα μέτρα ασφαλείας.
Σκεφθείτε κάποιον χάκερ που θα αποκτούσε πρόσβαση στην οπτική ροή δεδομένων του Google Glass και να παρακολουθεί όλες τις δραστηριότητες του χρήστη. Κάποιον άλλο που θα αποκτούσε πρόσβαση στον αυτόματο διανομέα για το φάρμακο του ασθενούς, που σε κανονικές συνθήκες έχει σχεδιαστεί να απελευθερώνει το φάρμακο ανάλογα με έναν αισθητήρα σώματος που ανιχνεύει μια συγκεκριμένη κατάσταση. Οποιαδήποτε συσκευή με ασύρματη σύνδεση θα μπορούσε να είναι ευάλωτη στην πειρατεία.
Το hacking στο ψυγείο μας θα μπορούσε να παραβιάζει την ιδιωτική ζωή μας, έχοντας τη δυνατότητα να εκμεταλλεύεται μια αδυναμία ασφάλειας σε μια συνδεδεμένη στο ίδιο δίκτυο κλειδαριά πόρτας, κάτι που θα μπορούσε να σημαίνει ότι χιλιάδες σπίτια θα γίνουν ευάλωτα σε διάρρηξη. Ακόμη και χωρίς απόλυτη πρόσβαση, απλά αναλύοντας μοτίβα κίνησης δικτύου, μπορεί κανείς να λάβει χρήσιμες πληροφορίες σχετικά με το αν το σπίτι μας είναι άδειο ή όχι.
Οι κίνδυνοι σε ευρύτερο επίπεδο
Οι αισθητήρες είναι μόνο ένα στοιχείο στο Internet of Things. Η άλλη μεγάλη κατηγορία συσκευών είναι οι ελεγκτές. Είναι συσκευές όπως διακόπτες, βαλβίδες και ενεργοποιητές, που εκτελούν συγκεκριμένες ενέργειες, όπως η προσαρμογή των ρυθμίσεων σε εξοπλισμό για μεταβλητές όπως η ταχύτητα, η θερμοκρασία ή πίεση, η ενεργοποίηση ανεμιστήρων εξαερισμού, κ.α. Το Δεκέμβριο του 2012 κινεζική ομάδα hacking πιάστηκε προσπαθώντας να διεισδύσει στο σύστημα ελέγχου του νερού των ΗΠΑ.
Παρόμοια προβλήματα έχουμε δει σε αρκετές χώρες. Οι περισσότερες επιθέσεις προέρχονταν από τη Ρωσία και την Κίνα. Ο Kyle Wilhoit της Trend Micro, κατέληξε στο συμπέρασμα ότι εισβολείς θα μπορούσαν να πάρουν τον έλεγχο σε πολλά συστήματα επιχειρήσεων κοινής ωφέλειας σε ολόκληρο τον κόσμο και ότι είναι πιθανό οι μηχανικοί των εγκαταστάσεων να είναι απληροφόρητοι για το τι συμβαίνει.
Τον Οκτώβριο του 2012, ο πρώην υπουργός Άμυνας των ΗΠΑ Λέον Πανέτα προειδοποίησε για μια πιθανή επίθεση cyber-Pearl Harbor, που θα μπορούσε να καταστρέψει το δίκτυο ηλεκτρικής ενέργειας των ΗΠΑ και τα συστήματα οικονομικών μεταφορών. Η Cisco εντόπισε τον Μάιο του περασμένου έτους μια σειρά έμμεσων επιθέσεων στον τομέα της ενέργειας και στις εταιρείες πετρελαίου.
Γέφυρες, φράγματα, κτίρια, αγωγοί, αεροπλάνα. κ.α. μπορούν να παρακολουθούνται συνεχώς για τη δομική ακεραιότητα τους από κατάλληλα τοποθετημένους αισθητήρες. Οι δρόμοι ίσως γεμίσουν με αισθητήρες έτσι ώστε τα αυτοκίνητα χωρίς οδηγό να γίνουν πραγματικότητα. Τα σπίτια μας με τη βοήθεια αισθητήρων θα προσπαθήσουν να περιορίσουν την κατανάλωση ενέργειας. Πλυντήρια ρούχων θα μπορούν να επικοινωνούν με έναν έξυπνο μετρητή της ΔΕΗ για να αρχίζουν να πλένουν μόνο όταν η χρέωση είναι στα χαμηλότερα επίπεδα.
Είμαστε στην αρχή όσων μπορούμε να φανταστούμε
Το Internet of Things είναι ακόμα στα σπάργανα, αλλά η υιοθέτηση του είναι πιθανό να επιταχυνθεί με την πρόσφατη εξαγορά της Nest από την Google για 3,2 δις δολάρια, μιας εταιρείας που παράγει σήμερα δικτυωμένους θερμοστάτες και ανιχνευτές καπνού. Η εταιρεία έχει ως στόχο της την υλοποίηση του σπιτιού με συνείδηση, που θα είναι πλήρως αυτοματοποιημένο.
Οι συσκευές με αισθητήρες είναι ακόμα ένα ελάχιστο μέρος της υφιστάμενης βάσης των πιθανών αντικειμένων που θα μπορούσαν να συνδεθούν στο Διαδίκτυο. Τα δεδομένα που παράγονται από αισθητήρες είναι ακόμα κατακερματισμένα και συνήθως περιορίζονται στον κατασκευαστή της συσκευής. Καθώς αυτές οι συσκευές και τα δεδομένα θα καθίστανται ευρέως διαθέσιμα, τόσο οι νόμιμες εταιρείες και οργανισμοί, όσο και οι εγκληματίες θα θελήσουν να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες σχετικά με τη ζωή μας.
Εάν εφαρμοστεί σωστά, το ΙοΤ μπορεί να αλλάξει τον κόσμο με θετικό τρόπο, ακόμα περισσότερο από ότι μπορούμε να φανταστούμε, κάνοντας μας ασφαλέστερους και υγιέστερους, μειώνοντας τα απόβλητα, πετυχαίνοντας εξοικονόμηση χρημάτων και βελτίωση του περιβάλλοντος. Μια πληθώρα αισθητήρων που θα βρίσκονται σχεδόν παντού δεν είναι μόνο μια πρόκληση, αλλά μία δυνατότητα για τη διαχείριση των πάντων, για την παρακολούθηση πολλαπλών απειλών της ασφάλειας μας.
Καθώς το Internet of Things εξελίσσεται, πρέπει να καθοριστούν τα πρότυπα ασφάλειας. Θα πρέπει να περιμένουμε για να δούμε πως οι κοινωνίες θα προσαρμοστούν, όχι μόνο για τη χρησιμότητα του, αλλά να πειστούν ότι θα εφαρμοστούν κατάλληλες διασφαλίσεις για να εξασφαλιστεί η προστασία της ιδιωτικής ζωής και της ασφάλειας μας. Επειδή προς το παρόν δεν υπάρχει κεντρική αρχή για να εξασφαλιστεί η συμμόρφωση, η επαγγελματική ασφάλεια και οι ασφαλείς επιλογές μας για συνεργάτες θα πρέπει να είναι ένας ισχυρός συνήγορος για να είμαστε ήσυχοι ότι οι πληροφορίες και τα δεδομένα που παράγουμε είναι ασφαλή.