Bezpečnost dat v přenosu IoT

/0 Komentáře/in , , /by

Pro sběr dat z logistických center nebo obchodních center je stále ve větším rozsahu používána technologie IoT, kterou představují systémy WACO, SIGFOX, Lora a NB IoT. Tyto technologické sítě se implementují pro sběr dat z měřidel různých senzorů teploty, vlhkosti, záplavových čidel dveřních a okenních kontaktů. Přenos dat je realizován rádiovou cestou a to samozřejmě přináší otázku, jak jsou tato data chráněna proti případným útokům.

Provozování složitých technologických systémů pro řízení a monitoring např. obchodních center by mělo mít z pohledu bezpečnosti určité standardy. Manažeři by měli určit, kdo má přístup k šifrovacím klíčům, kdo systémy servisuje, jaké mají servisní organizace podepsané smlouvy a jak nakládají s citlivými informacemi.

 

Zabezpečení přenosu dat

Pokud vyjdeme ze zjednodušeného pohledu na IoT systémy, pak můžeme hovořit o aplikačních modulech, sběrných systémech a základnových stanicích, počítačích a aplikacích, kde se data ukládají a zpracovávají.

Aplikační moduly z pohledu funkčností, které typicky tyto moduly poskytují, je  možné rozdělit do tří skupin:

  • senzory – pouze poskytují měřené hodnoty z reálného světa (teplota, spotřeba vody, apod.)
  • aktory – „řídí/nastavují“ hodnoty v reálném světě, například otevírání zámku dveří, regulace teploty, regulace otáček motoru a podobně
  • senzory/aktory – obsahují obě výše uvedené funkce

Z pohledu způsobu komunikace je převažující komunikace bezdrátová (rádiová), i když samotné chápání IoT technologie toto restriktivně nepožaduje. Napájení takových modulů je pak většinou bateriové.

Z hlediska bezpečnosti se u takovýchto modulů řeší 2 základní problémy. Je snaha zakrýt obsah zprávy a zabránit útočníkovi dekódovat a přečíst zprávu, případně sestavit vlastní platnou zprávu.

Dále zabránit útočníkovi, aby zasláním již zachycené zprávy nevyvolal nežádoucí efekt, například neodemkl zámek u bytu.

Pro zakrytí obsahu zprávy se standardně používá nějaká metoda šifrování, někdy kombinovaná s digitálním podpisem. U většiny komerčních systémů se jako základní šifrovací metoda používá AES-128, doplněná o nějakou nadstavbu, například CBC, CTR a podobně. Starší systémy ještě používají DES, případně Triple DES. U některých nových se pracuje s variantou AES-256. Jednotlivé systémy se pak hlavně liší použitím šifrovacích klíčů, a způsobem generování tzv. Iniciačních Vektorů (dále jen IV).

Pro úspěšné prolomení šifrování je potřeba znát dvě věci: algoritmus šifrování, včetně použití klíče a generování potřebných dat, například IV. Dále vlastní šifrovaní klíč.

Algoritmy šifrování jsou buď veřejně známé (hlavně u komunikačních standardů), nebo proprietární, případně kombinované tak, že se použije známý algoritmus, ale není znám způsob generování IV. Pro podporu účinnosti algoritmu šifrování je dobré, když zprávy po sobě jdoucí obsahují nějaký element, který se neustále mění, aby zašifrované zprávy za sebou nebyly totožné i po zašifrování.

U šifrovacích klíčů je obzvláště důležité „klíčové hospodářství“, způsob vytváření, spravování a uschovávání klíčů. Typickou výhodou většiny rádiových technologií je to, že se používá tzv. šifrování na aplikační vrstvě. To je princip, kdy se šifrují pouze uživatelská data a dešifrování dat probíhá až na počítačích, kde se data ukládají. Celou přenosovou trasu pak data absolvují v zašifrované podobě. To pak zjednodušuje i ono klíčové hospodářství. Pro ztížení prolomení šifry a nalezení klíče a pro zvýšení ochrany bezpečnosti IoT systémů je dobré dodržovat několik bodů:

  • klíče by neměly být tvořeny sekvencí stejných znaků (bytů), v nejhorším případě například samé 0
  • klíče by se neměly posílat do modulů rádiovou komunikační cestou bez zašifrování
  • ke klíčům by měl mít přístup omezený počet pracovníků
  • pokud nějaká organizace provozuje sít IoT zařízení, klíče by neměly být ve všech zařízeních stejné, prolomení jednoho klíče pak znamená odkrytí provozu celé společnosti
  • některé technologie (WACO, LoRaWAN) umožnují definovat různé klíče pro různé aplikace v jednom modulu. Tato vlastnost nejenže více chrání provoz daného modulu, například že existuje klíč pro data senzorů a jiný pro dálkovou konfiguraci, ale umožnuje i to, aby správce provozu byla firma, která sice může monitorovat provoz modulů, ale nevidí jejich data, a naopak společnost, která sbírá senzorová data, nemůže daný modul vzdáleně konfigurovat.

Útok prostřednictvím znovu zaslání již zachycené zprávy je z pohledu útočníka daleko snazší, nevyžaduje totiž žádné znalosti konkrétního šifrovacího systému modulu. Výhodou z pohledu obrany je pouze skutečnost, že útočník neví, co danou zprávou způsobí.

 

Techniky na obranu

Možným způsobem obrany jsou techniky na bázi plovoucích kódů (automobily, zabezpečovací systémy). Další možností je ve zprávě posílat informace, které umožní po dešifrování stanovit, zda se nejedná o opakovanou zprávu například číslo transakce, případně že zpráva přichází ve špatném čase (například časová značka, která umožní definovat platnost zprávy).

 

Shrnutí běžně používaných bezdrátových technologií

Technologie SIGFOX, LoRa a NB IoT (Narrowband IoT, provozovaná mobilními operátory) mají v České republice národní operátory. Infrastrukturu pro WirelessMBUS, WACO ale i LoRa je nutné nebo možné vybudovat lokálně dle místa použití.

 

Technologie Původ Šifrování Šifrovací klíče IV
NB IoT Standard Nedefinováno
LoRa Standard Na bázi AES128 Jeden sítový klíč, až 255 aplikačních  
Sigfox Standard Nedefinováno
Wireless MBUS Standard AES128,DES,AES128-CTR Jeden na modul standard
WACO Softlink s.r.o AES128-CBC Až 256 aplikačních klíčů proprietární

 

 

Závěrem je nutno poznamenat, že samozřejmě požadavek na bezpečnosti IoT systémů může být různě „silný“. I laicky lze dovodit, že pokud se prolomením šifry a monitorováním přenosu dat nějakého sensoru útočník dozví, že teplota v místnosti „oběti útoku“ je dnes 22.5 °C, pak z hlediska oné oběti útoku je to pravděpodobně menší újma, než schopnost útočníka dálkově odemknout dveře nemovitosti oběti útoku.

Obecně platí, že ovládnutí modulů typu aktor je z pohledu jejich funkce více nebezpečné, než u typu senzor. Zde je zjevně ve hře jednodušší útok pomocí opakování již zachycené zprávy, kdy útočník vůbec nemusí být schopen dešifrovat danou zprávu. Jen ji prostě zopakuje s vidinou nějaké aktivity, kterou modul aktor provede.

 

Význam IoT systémů sílí. Mechanismy zabezpečení přenosu dat se rozvíjejí a zlepšují. Nicméně u těch současných je třeba respektovat určité zásady tak, abyste měli provoz objektu bezpečný.

 

TEXT Ing. Petr Volný, SOFTLINK s.r.o.

Tři hlavní trendy a výzvy pro správce budov v roce 2021

/0 Komentáře/in , , /by

Rok 2020 přinesl všem mnohé nečekané výzvy a problémy. Jaký dopad měl covid-19 na směr rozvoje facility managementu bychom zde mohli vyjmenovávat dlouho – od nových nároků na hygienu a technologie čištění, požadavků na využití a uspořádání kancelářských prostor, práce na dálku a mnohá další. Rozhodli jsme se tedy vybrat ty nejzásadnější a nejinovativnější témata z oblasti IT a být tak vašimi průvodci nadcházejícím rokem 2021.

Facility manager na home office
Práce na dálku a propojení digitálních řešení a aplikací jsou v roce 2021 nevyhnutelné. Nejen kvůli novým způsobům fungování diktovaných pandemií. Je tu také pomalu nastupující generační obměna správců budov. Podle statistik až 40 % dnešních správců své pozice opustí již do roku 2026. Na jejich místo rychle přicházejí mileniálové, kteří se nespokojí s ničím menším než s integrovaným řešením založeným na mobilních zařízeních nebo uživatelsky přívětivé platformě, která jim poskytne veškeré potřebné informace, a mohou ji ovládat jednoduše prsty.

Jedno softwarové řešení
Když si dáte tyto dvě skutečnosti dohromady, je zřejmé, proč se software pro správu budov musí integrovat s dalšími nástroji nezbytnými pro řízení firmy – od platforem pro správu projektů až po objednávky a fakturace. Takové propojení informací a procesů pak nejen ulehčí práci správcům, ale také managementu poskytnou data pro rozhodování a dobrý přehled o například počtu poruch a havárií, průběhu servisních prací, nákladech, zásobách materiálu, platbách a mnohém dalším v reálném čase on-line.

Prediktivní údržba a management díky inteligentnímu IoT
Když mluvíme o předpovědích, nemůžeme zapomenout na téma prediktivní údržby. Jak mnozí manažeři údržby vědí, může být prediktivní údržba někdy neefektivní. Zvláště vychází-li pouze z jednoho zdroje, nejčastěji dat integrovaných čidel, může generovat nadměrnou a neefektivní práci. Což znamená, že plýtváme časem i díly a měníme je ještě před koncem jejich životnosti. Dobrou zprávou je, že řešení přichází – a sice v podobě kombinace čidel, statistických dat a zapojení umělé inteligence, která analyzuje vzory a způsoby selhání tuto neefektivitu výrazně snižuje a rozhodně je jedním z trendů pro nadcházející rok.

Díky již zmíněné integraci s ekonomickými moduly a skladovým hospodářstvím, může tedy inteligentní facility management platforma nejen poskytovat ucelený přehled o údržbě a nákladech na ni, ale také například řídit související dokumentaci, nebo včas automaticky objednávat a naskladňovat potřebné díly a materiál za Vás.
Pokud chcete vědět více, podívejte se na www.udrzba.insio.cz.

Red.

Jak funguje letiště online

/0 Komentáře/in , /by

Letiště Praha spustilo nový livestream. Divákům přináší exkluzivní pohled do zákulisí jedné části provozu. Úvodní díl Údržba ploch odstartoval na Facebooku a YouTube kanálu ve středu 31. března 2021 odpoledne. Je pro všechny diváky zdarma.

Do přenosu se diváci mohou zapojit přímo. V průběhu online vysílání mohou posílat dotazy skrze obě vysílací platformy. Celý stream zůstane dostupný pouze 24 hodin. 

Současná situace nepřeje fyzickým návštěvám, rádi bychom však přivítali fanoušky letectví a cestování u nás na letišti, alespoň v online formě. Diváci budou moci exkluzivně nahlédnout do zákulisí jedné části provozu letiště. A přímo od těch nejpovolanějších se dozvědět, co je zajímá,“ říká k novému projektu Marcela Tučníková, manažerka externí komunikace a marketingu Letiště Praha.

V pilotním díle letiště představilo téma údržby letištních ploch, jehož průvodcem byl manažer Pavel Rejlek. Prozradil například, proč musí být dráha perfektně uklizená, nebo co mají zaměstnanci údržby na starosti během léta. Diváci se také dozví, jaká je vlastně celková zpevněná plocha letiště, o kterou se v zimě údržba musí starat, jaký je režim jejich práce a jak rychle musí být uklizena hlavní dráha od sněhu.

Celý přenos odstartoval projížďkou po letišti, poté se přesunul do garáží údržby letištních ploch. Před garážemi byla vystavena ta nejzajímavější technika. Na závěr se diváci na dálku projeli v některém ze strojů zimní údržby po letištní ploše a viděli tak rozhled přímo z kabiny.

Úvodní díl si diváci mohli spustit již 31. března 2021 od 17:00 hodin na odkazu bit.ly/livestream_exkurze, kde budou vysílány postupně i další díly.

Pro informace o dalších online exkurzích ze zákulisí letiště a termínech doporučujeme sledovat oficiální profily pražského letiště na sociálních sítích Facebook a Instagram.

Red.