“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
3. Uživatelé mají často
problém formulovat,
čeho se vlastně bojí.
• Nálepka, kterou nikdo normální
moc nechápe.
Co se všechno může pokazit?
Jakou to má pravděpodobnost?
Kolik to stojí?
• Řeší hrozby a jejich dopady.
• Občas “byznys se strachem”.
Obavy uživatelů nemusí odpovídat
reálným bezpečnostním hrozbám,
přesto se musí řešit.
5. • Marketingová nálepka označující
trend.
Jako Cloud Computing, Big Data, …
• Není definice, rozšiřuje a zpřesňuje
se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace,
výkon a cena.
6.
7. • Marketingová nálepka označující
trend.
• Není definice, rozšiřuje a zpřesňuje
se význam.
• Esence: “Čipy ve všem kolem nás”.
• Komponentizace, standardizace,
výkon a cena.
Nové zařízení je “stavebnice komponent”
8.
9.
10. Díky standardizaci na úrovni základních
technologií (“čipy”) je možná inovace
na úrovni zařízení.
http://unreasonablemen.net/tag/simon-wardley/
12. • Fakt: Nikdo neví co to je.
• Premisa “Více digitalizace, více
hrozeb”.
http://aktualne.centrum.cz/finance/penize/clanek.phtml?id=800191
http://www.youtube.com/watch?v=tEzXIYu2gII
• Aplikace již vznikají, není na co čekat.
• Spousta prohlášení, málo struktury.
13. “ beyond traditional computing devices to make
Your security concerns will have to expand
sure all networked objects are regularly
updated and that you employ secure
passwords.
Dlouhá a složitá hesla na brýle nebo chytré
hodinky? To zní pohodlně…
http://blogs.mcafee.com/mcafee-labs/2014-threats-predictions-the-internet-of-things-offers-handygadget-control-yet-could-unlock-more-than-we-expect
14. “ things, here in the U.S. that is, would be
The only way we could ever secure these
to pass some sort of national regulatory law.
Chtěl jsem vám vypnout pacemaker, ale
teď když tu je ten nový zákon …
http://blog.kaspersky.com/securing-the-internet-of-things/
15. * DLP = Data Loss Prevention
** BYOD = Bring Your Own Device
S tím nelze nesouhlasit - nikdo nechce
ztrácet data, více faktorů je fajn…
“ increasing demand for DLP* and two-factor
… other key trends for the year ahead include
authentication and a move from BYOD** to
CYOD – choose your own device – and the
associated security issues.
Přenést liability na klienty
a zaměstnance?
http://techday.com/it-brief/news/internet-of-things-will-become-the-internet-of-vulnerabilities/174484/
16. Guy Kawasaki @GuyKawasaki
His #1 lesson from Steve Jobs
“ Experts are clueless…
Dosavadní rady jsou z kategorie “větší,
lepší stejnota”.
http://www.slideshare.net/GKawasaki/lessons-of-steve-jobs
19. Různé bezpečnostní priority.
Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
24. Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
26. “ já, identifikací pomocí až tří faktorů: něco vím,
Při “autentizaci” dokážu to, že já jsem opravdu
něco mám, něco jsem…
http://en.wikipedia.org/wiki/Authentication
27. Tradiční obrázek (username/heslo + autentizační SMS)
již díky malware na OS mobilních telefonů a crossplatform útokům nefunguje.
28. Nějak postiženy jsou dnes již snad
všechny České banky. A ano - někde
opravdu zmizely peníze z účtů…
“
Pozor na novou formu hackerských útoků.
Dnes vás chceme upozornit na jeden obzvlášť
vykutálený typ hackerského útoku na klienty
bank, který se šíří Evropou a bohužel se
nevyhnul ani českým bankám.
http://www.airbank.cz/cs/vse-o-air-bank/novinky/pozor-na-novou-formu-hackerskych-utoku/
29. Je s tím ale více problémů. Jak třeba zadám heslo či
přepíšu SMS na brýlých? PIN možná takto:
www.youtube.com/watch?v=9naxeHGIaRY
35. Podobně jako při pracovním pohovoru odmítneme
příchozí hovor, nebudeme nosit v některých
situacích brýle. Etické normy a pravidla kolem
používání telefonu také někdy musely vzniknout.
“Glasshole” ⇨ Etiketa, společenská pravidla, …
37. Na infografice nejsou vidět neprůhledné
státní tendery, které při budování této
budoucnosti nevyhnutelně proběhnou.
http://www.libelium.com/libelium-smart-world-infographic-smart-cities-internet-of-things/
38. Internet “mých” věcí
• Autentizace
• Soukromí
• Identita
• Zmatení zařízení
• Zcizení zařízení
Internet “nějakých” věcí
• Krádež dat
• Přístup k datům
• Vlastnictví dat
• Autenticita dat
• Deaktivace zařízení
• Hijacking senzoru
• Soukromí (nepřímo)
39. 2014
Problémy související s “bezpečností internetu
věcí” je nutné řešit již dnes. Vznikají první
prototypové aplikace a brzy budou existovat
oficiální řešení. Spolu s tím se objeví nové
hrozby, které bude nutné řešit technicky, eticky,
legislativně, … Abychom to dokázali, je nutné
strukturovat - začněme jednoduše:
Jsou dva internety věcí.