• Beranda
  • Artikel
  • Umum
  • Apakah Kita Menciptakan Internet of Things (IoT) yang Tidak Aman? Tantangan dan Kekhawatiran Keamanan

Apakah Kita Menciptakan Internet of Things (IoT) yang Tidak Aman? Tantangan dan Kekhawatiran Keamanan

Diterbitkan: 2022-03-11

Internet of Things (IoT) telah menjadi kata kunci industri selama bertahun-tahun, tetapi perkembangan yang lamban dan komersialisasi yang terbatas telah membuat beberapa pengamat industri mulai menyebutnya "Internet of NoThings".

Selain permainan kata-kata ganda, pengembangan IoT sedang dalam masalah. Selain memunculkan lelucon culun yang tidak cocok untuk sebagian besar acara sosial, hype itu tidak membantu; dan, pada kenyataannya, saya percaya itu sebenarnya menyebabkan lebih banyak kerugian daripada kebaikan. Ada beberapa masalah dengan IoT, tetapi semua liputan positif dan hype tanpa dasar adalah satu hal yang bisa kita lakukan tanpanya. Keuntungan dari menghasilkan lebih banyak perhatian jelas: lebih banyak investasi, lebih banyak pendanaan VC, lebih banyak minat konsumen.

keamanan dan internet hal

Namun, ini datang dengan tingkat pengawasan tambahan, yang telah membuat sejumlah kekurangan sangat jelas. Setelah beberapa tahun perkiraan bullish dan janji-janji besar, keamanan IoT tampaknya menjadi perhatian terbesar. Beberapa minggu pertama tahun 2015 tidak baik untuk industri yang sedang berkembang ini, dan sebagian besar pers negatif berkisar pada keamanan.

Apakah itu dibenarkan? Apakah itu hanya "ketakutan, ketidakpastian dan keraguan" (FUD), yang dibawa oleh hype selama bertahun-tahun? Itu sedikit dari keduanya; meskipun beberapa masalah mungkin telah dibesar-besarkan, masalahnya sangat nyata.

Dari “Tahun IoT” Hingga Annus Horribilis Untuk IoT

Banyak komentator menggambarkan 2015 sebagai “tahun IoT”, tetapi sejauh ini, ini adalah tahun pers yang buruk. Memang, masih ada sepuluh bulan lagi, tetapi laporan negatif terus menumpuk. Perusahaan keamanan Kaspersky baru-baru ini melontarkan kritik yang memberatkan terhadap tantangan keamanan IoT, dengan judul yang tidak menarik, “ Internet of Crappy Things ”.

Kaspersky tidak asing dengan kritik dan kontroversi IoT; perusahaan telah membunyikan lonceng alarm untuk sementara waktu, mendukungnya dengan contoh rumah pintar yang diretas, pencucian mobil, dan bahkan sistem pengawasan polisi. Baik seorang peretas ingin mencuci kendaraan mereka secara gratis, atau menguntit seseorang menggunakan pelacak kebugaran mereka – kelemahan keamanan IoT dapat memungkinkannya.

Wind River menerbitkan buku putih tentang keamanan IoT pada Januari 2015, dan laporannya dimulai dengan pengantar yang serius. Berjudul Mencari Peluru Perak , itu merangkum masalah hanya dalam tiga paragraf, yang akan saya ringkas menjadi beberapa poin:

  • Keamanan harus menjadi pendukung dasar untuk IoT.
  • Saat ini tidak ada konsensus tentang bagaimana menerapkan keamanan di IoT pada perangkat.
  • Harapan yang lazim, dan tidak realistis, adalah bahwa entah bagaimana mungkin untuk mengompres 25 tahun evolusi keamanan menjadi perangkat IoT baru.
  • Tidak ada peluru perak yang dapat secara efektif mengurangi ancaman.

Namun, ada beberapa kabar baik; pengetahuan dan pengalaman sudah ada di sini, tetapi harus disesuaikan agar sesuai dengan batasan unik perangkat IoT.

Sayangnya, di sinilah kami sebagai pengembang keamanan sistem menemukan masalah lain, masalah perangkat keras.

Ketua Komisi Perdagangan Federal AS, Edith Ramirez, berbicara di Consumer Electronics Show di Las Vegas awal tahun ini, memperingatkan bahwa menyematkan sensor ke perangkat sehari-hari, dan membiarkannya merekam apa yang kita lakukan, dapat menimbulkan risiko keamanan yang besar.

Ramirez menguraikan tiga tantangan utama untuk masa depan IoT:

  • Pengumpulan data di mana-mana.
  • Potensi penggunaan data konsumen yang tidak terduga.
  • Risiko keamanan yang meningkat.

Dia mendesak perusahaan untuk meningkatkan privasi dan membangun perangkat IoT yang aman dengan mengadopsi pendekatan yang berfokus pada keamanan, mengurangi jumlah data yang dikumpulkan oleh perangkat IoT, dan meningkatkan transparansi serta memberi konsumen pilihan untuk tidak ikut pengumpulan data.

Ramirez melanjutkan dengan mengatakan bahwa pengembang perangkat IoT tidak menghabiskan waktu untuk memikirkan cara mengamankan perangkat dan layanan mereka dari serangan siber.

“Ukuran kecil dan kekuatan pemrosesan terbatas dari banyak perangkat yang terhubung dapat menghambat enkripsi dan langkah-langkah keamanan kuat lainnya,” kata Ramirez. “Selain itu, beberapa perangkat yang terhubung berbiaya rendah dan pada dasarnya sekali pakai. Jika kerentanan ditemukan pada perangkat jenis itu, mungkin sulit untuk memperbarui perangkat lunak atau menerapkan tambalan – atau bahkan untuk mendapatkan berita tentang perbaikan kepada konsumen.”

Sementara Ramirez tepat dalam banyak hal, saya harus mencatat bahwa Internet melewati fase yang sama dua dekade lalu. Ada banyak masalah keamanan, dan tahun sembilan puluhan melihat munculnya malware yang ditularkan melalui internet, serangan DDoS, phishing canggih, dan banyak lagi. Meskipun Hollywood menggambarkan masa depan dystopian di beberapa film, kami telah berakhir dengan anak kucing di jejaring sosial dan pelanggaran keamanan tingkat tinggi di sana-sini.

Internet masih belum aman, jadi kami juga tidak bisa berharap IoT aman. Namun, keamanan terus berkembang untuk memenuhi tantangan baru, kami telah melihatnya sebelumnya, dan kami akan melihatnya lagi, dengan IoT dan teknologi terhubung berikutnya.

Perangkat Keras IoT Adalah Dan Akan Tetap Menjadi Masalah

Beberapa dari Anda akan berpikir bahwa masalah perangkat keras yang disebutkan oleh bos FTC akan ditangani; ya, beberapa dari mereka mungkin akan melakukannya.

Seiring pertumbuhan pasar IoT, kami akan melihat lebih banyak investasi, dan seiring dengan matangnya perangkat keras, kami akan mendapatkan peningkatan keamanan. Pembuat chip seperti Intel dan ARM akan tertarik untuk menawarkan keamanan yang lebih baik dengan setiap generasi baru, karena keamanan dapat menjadi pembeda pasar, memungkinkan mereka untuk meraih lebih banyak kemenangan desain dan mendapatkan bagian yang lebih besar.

Teknologi selalu maju, jadi mengapa tidak? Proses manufaktur baru umumnya menghasilkan prosesor yang lebih cepat dan lebih efisien, dan cepat atau lambat, kesenjangan akan tertutup, sehingga memberi pengembang kekuatan pemrosesan yang cukup untuk menerapkan fitur keamanan yang lebih baik. Namun, saya tidak begitu yakin ini adalah skenario yang realistis.

tidak aman

Pertama-tama, chip IoT tidak akan menghasilkan uang besar karena ukurannya kecil dan biasanya didasarkan pada arsitektur yang sudah ketinggalan zaman. Misalnya, platform Intel Edison generasi pertama didasarkan pada prosesor Quark, yang pada dasarnya menggunakan set instruksi CPU yang sama dan sebagian besar desain Pentium P54C kuno. Namun, mikrokomputer Edison generasi berikutnya didasarkan pada prosesor yang jauh lebih cepat, berdasarkan inti Atom Silvermont, yang ada di banyak tablet Windows dan Android, saat ini. (Intel mengirimkan ~46m Bay Trail SoCs pada tahun 2014.)

Di hadapannya, kita bisa berakhir dengan inti CPU 64-bit x86 yang relatif modern di perangkat IoT, tetapi harganya tidak murah, mereka masih akan jauh lebih kompleks daripada inti ARM terkecil, dan oleh karena itu akan membutuhkan lebih banyak baterai. kekuatan.

Perangkat wearable yang murah dan sekali pakai, yang tampaknya menjadi perhatian terbesar FTC, tidak akan didukung oleh chip semacam itu, setidaknya, tidak dalam waktu dekat. Konsumen mungkin berakhir dengan prosesor yang lebih kuat, seperti Intel Atoms atau chip ARMv8, di beberapa produk pintar, seperti lemari es pintar atau mesin cuci dengan layar sentuh, tetapi mereka tidak praktis untuk perangkat sekali pakai tanpa layar dan dengan kapasitas baterai terbatas.

Menjual platform lengkap, atau desain referensi untuk berbagai perangkat IoT, dapat membantu pembuat chip menghasilkan lebih banyak pendapatan, sementara pada saat yang sama memperkenalkan lebih banyak standarisasi dan keamanan. Hal terakhir yang dibutuhkan industri adalah perangkat yang lebih tidak standar dan lebih banyak fragmentasi. Ini mungkin terdengar seperti pendekatan yang logis dan masuk akal, karena pengembang akan berakhir dengan lebih sedikit platform dan lebih banyak sumber daya akan dialokasikan untuk keamanan, namun, pelanggaran keamanan juga akan memengaruhi lebih banyak perangkat.

Uang Mengalir, Analis Tetap Bullish, Apa yang Mungkin Salah?

Salah satu cara paling umum untuk mengatasi masalah apa pun di industri teknologi adalah dengan membuang uang untuk itu. Jadi, mari kita lihat di mana posisi kita saat ini dalam hal pendanaan daripada teknologi.

Menurut firma riset IDC dan Gartner, IoT akan tumbuh sedemikian rupa sehingga akan mengubah industri pusat data pada akhir dekade ini. Gartner memperkirakan pasar IoT akan memiliki 26 miliar unit terpasang pada tahun 2020, menciptakan peluang besar bagi semua pihak, mulai dari pusat data dan pembuat perangkat keras, hingga pengembang dan desainer. IDC juga mengharapkan industri IoT akan berakhir dengan “miliaran perangkat dan triliunan dolar” pada akhir dekade ini.

Prakiraan pasar IoT terbaru Gartner yang diterbitkan pada Mei 2014 juga mencakup daftar tantangan potensial, beberapa di antaranya telah saya bahas:

  • Keamanan: Peningkatan otomatisasi dan digitalisasi menciptakan masalah keamanan baru.
  • Perusahaan: Masalah keamanan dapat menimbulkan risiko keselamatan.
  • Privasi Konsumen: Potensi pelanggaran privasi.
  • Data: Banyak sekali data yang akan dihasilkan, baik untuk big data maupun data pribadi.
  • Manajemen Penyimpanan: Industri perlu mencari tahu apa yang harus dilakukan dengan data dengan cara yang hemat biaya.
  • Teknologi Server: Diperlukan lebih banyak investasi di server.
  • Jaringan Pusat Data: Tautan WAN dioptimalkan untuk aplikasi antarmuka manusia, IoT diharapkan dapat mengubah pola secara dramatis dengan mentransmisikan data secara otomatis.

Semua poin ini (dan lebih banyak lagi) harus ditangani cepat atau lambat, seringkali dengan biaya yang besar. Kami tidak lagi berbicara tentang chip IoT kecil dan mainan murah berdasarkan chip tersebut, ini adalah infrastruktur. Ini adalah banyak silikon dalam CPU server, RAM DDR4 ECC yang mahal, dan bahkan SSD yang lebih besar, semuanya ditempatkan di server yang mahal, di pusat data yang lebih besar.

Itu hanya puncak gunung es; industri harus mengatasi masalah bandwidth, manajemen data dan kebijakan privasi, dan keamanan. Jadi, berapa banyak uang yang tersisa untuk keamanan, yang ada di atas daftar tantangan IoT Gartner?

Banyak uang sudah mengalir ke industri, VC mulai bergabung dan laju investasi tampaknya meningkat. Ada pula sejumlah akuisisi yang kerap melibatkan pemain besar seperti Google, Qualcomm, Samsung, Gemalto, Intel dan lain-lain. Ada daftar investasi terkait IoT di Postscapes. Masalah dengan banyak dari investasi ini, terutama yang berasal dari VC, adalah bahwa mereka cenderung fokus pada hal-hal "mengkilap", perangkat yang dapat segera dipasarkan, dengan ROI yang berpotensi spektakuler. Investasi ini tidak berbuat banyak untuk keamanan atau infrastruktur, yang pada dasarnya harus mengikuti permintaan IoT.

Pemain besar harus melakukan pekerjaan berat, bukan startup dan pembuat mainan yang didukung VC. Startup yang gesit dan inovatif tentu akan memainkan peran besar dengan mendorong adopsi dan menciptakan permintaan, tetapi mereka tidak dapat melakukan semuanya.

Jadi mari kita pikirkan seperti ini, bahkan sebuah perusahaan kecil dapat membuat mobil, atau puluhan ribu mobil, tetapi tidak dapat membangun jalan raya, jalan raya, pom bensin, dan kilang minyak. Perusahaan kecil yang sama itu dapat membangun kendaraan yang aman menggunakan teknologi siap pakai untuk memenuhi standar keselamatan jalan dasar, tetapi tidak dapat membangun kendaraan seperti Segway yang akan memenuhi standar keselamatan yang sama, begitu pula orang lain. Standar keamanan otomotif tidak akan pernah berlaku untuk kendaraan seperti itu, kami tidak melihat orang yang bepergian untuk bekerja di Segways, jadi kami juga tidak dapat mengharapkan standar keamanan teknologi tradisional untuk diterapkan pada perangkat IoT yang kurang bertenaga.

Memiliki komuter yang memeriksa email mereka atau bermain Candy Crush saat mengendarai Segways mereka melalui lalu lintas jam sibuk tidak terdengar sangat aman, bukan? Jadi mengapa kita harus mengharapkan perangkat IoT seaman perangkat terhubung lainnya, dengan perangkat keras yang jauh lebih kuat dan sistem operasi yang matang? Ini mungkin analogi yang aneh, tetapi intinya adalah bahwa perangkat IoT tidak dapat diharapkan untuk memenuhi standar keamanan yang sama dengan komputer yang sepenuhnya matang.

Tapi Tunggu, Tidak Banyak Masalah Keamanan IoT…

Benar, kami tidak melihat banyak berita utama tentang pelanggaran keamanan IoT yang spektakuler, tetapi izinkan saya begini: berapa banyak berita utama terkait keamanan yang Anda lihat tentang Android Wear? Satu? Dua? Tidak ada? Diperkirakan ada kurang dari satu juta perangkat Android Wear di alam liar, jadi mereka sama sekali bukan target utama peretas, atau subjek peneliti keamanan.

Berapa banyak perangkat IoT yang Anda miliki dan gunakan saat ini? Berapa banyak yang digunakan bisnis Anda? Dari situlah lelucon "Internet of NoThings" berasal, kebanyakan orang tidak memilikinya. Jumlahnya terus naik, tetapi rata-rata konsumen tidak membeli banyak, jadi dari mana pertumbuhan itu berasal? Perangkat IoT ada di luar sana dan jumlahnya sedang booming, didorong oleh perusahaan daripada pasar konsumen.

Verizon dan ABI Research memperkirakan bahwa ada 1,2 miliar perangkat berbeda yang terhubung ke internet tahun lalu, tetapi pada tahun 2020, mereka mengharapkan sebanyak 5,4 miliar koneksi B2B IoT.

Gelang pintar, pemanggang roti, dan kalung anjing bukanlah masalah besar dari perspektif keamanan, tetapi laporan IoT terbaru Verizon berfokus pada sesuatu yang sedikit lebih menarik: perusahaan.

Jumlah koneksi mesin-ke-mesin (M2M) Verizon di sektor manufaktur meningkat 204 persen dari 2013 hingga 2014, diikuti oleh keuangan dan asuransi, media dan hiburan, perawatan kesehatan, ritel, dan transportasi. Laporan Verizon mencakup perincian tren IoT di berbagai industri, sehingga memberikan wawasan tentang sisi bisnis.

Nada keseluruhan dari laporan ini optimis, tetapi juga mencantumkan sejumlah masalah keamanan. Verizon menggambarkan pelanggaran keamanan di industri energi sebagai "tidak terpikirkan", menggambarkan keamanan IoT sebagai "yang terpenting" di bidang manufaktur, dan bahkan tidak memunculkan potensi risiko dalam perawatan kesehatan dan transportasi.

Bagaimana Dan Kapan Kita Akan Mendapatkan Internet of Things yang Aman?

Saya tidak akan mencoba menawarkan jawaban pasti tentang bagaimana tantangan keamanan IoT dapat diselesaikan, atau kapan. Industri ini masih mencari jawaban dan jalan masih panjang. Studi terbaru menunjukkan bahwa sebagian besar perangkat IoT yang tersedia saat ini memiliki kerentanan keamanan. HP menemukan bahwa sebanyak 70 persen perangkat IoT rentan terhadap serangan.

Sementara pertumbuhan menawarkan banyak peluang, IoT masih belum matang, atau aman. Menambahkan jutaan perangkat baru, titik akhir perangkat keras, miliaran baris kode, bersama dengan lebih banyak infrastruktur untuk mengatasi beban, menciptakan serangkaian tantangan yang luas, tak tertandingi oleh apa pun yang telah kami alami selama dua dekade terakhir.

Makanya saya bukan orang yang optimis.

Saya tidak percaya industri dapat menerapkan banyak pelajaran keamanan ke IoT, setidaknya tidak cukup cepat, tidak selama beberapa tahun ke depan. Dalam pikiran saya, analogi Internet adalah kekeliruan, hanya karena internet tahun sembilan puluhan tidak harus berurusan dengan jenis perangkat keras yang sangat berbeda. Menggunakan enkripsi dan menyia-nyiakan siklus clock untuk keamanan bukanlah masalah pada CPU x86 besar atau ARM SoCs, tetapi itu tidak akan bekerja dengan cara yang sama dengan perangkat IoT kecil dengan sebagian kecil dari daya pemrosesan dan amplop konsumsi daya yang jauh berbeda.

Prosesor yang lebih rumit, dengan cetakan yang lebih besar, membutuhkan kemasan yang lebih besar dan harus membuang lebih banyak panas. Mereka juga membutuhkan lebih banyak daya, yang berarti baterai lebih besar, lebih berat, dan lebih mahal. Untuk mencukur berat dan mengurangi curah, produsen harus menggunakan bahan eksotis dan teknik produksi. Semua hal di atas akan memerlukan lebih banyak pengeluaran R&D, waktu pemasaran yang lebih lama, dan tagihan material yang lebih besar. Dengan harga yang jauh lebih tinggi dan bangunan premium, perangkat semacam itu hampir tidak dapat dianggap sekali pakai.

internet hal - iot

Jadi apa yang harus dilakukan untuk membuat IoT aman? Banyak. Dan setiap orang memiliki peran untuk dimainkan, mulai dari raksasa teknologi hingga pengembang individu.

Mari kita lihat beberapa poin dasar, seperti apa yang bisa dilakukan, dan apa yang sedang dilakukan, untuk meningkatkan keamanan IoT sekarang:

  • Tekankan keamanan sejak hari pertama
  • Siklus hidup, pemeriksaan masa depan, pembaruan
  • Kontrol akses dan otentikasi perangkat
  • Ketahuilah Musuhmu
  • Bersiaplah untuk pelanggaran keamanan

Penekanan yang jelas pada keamanan sejak hari pertama selalu merupakan hal yang baik, terutama ketika berhadapan dengan teknologi yang belum matang dan pasar yang belum berkembang. Jika Anda berencana untuk mengembangkan infrastruktur IoT Anda sendiri, atau menerapkan solusi yang sudah ada, lakukan riset dan tetap mendapatkan informasi sebanyak mungkin. Ini mungkin melibatkan trade-off, karena Anda dapat disajikan dengan pilihan untuk meningkatkan keamanan dengan mengorbankan pengalaman pengguna, tetapi itu sepadan selama Anda mencapai keseimbangan yang tepat. Ini tidak dapat dilakukan dengan cepat, Anda harus merencanakan ke depan, dan merencanakan dengan baik.

Dalam ketergesaan untuk membawa produk dan layanan baru ke pasar, banyak perusahaan cenderung mengabaikan dukungan jangka panjang. Itu terjadi setiap saat, bahkan di liga besar, jadi kami selalu berakhir dengan jutaan komputer dan perangkat seluler yang belum ditambal dan tidak aman. Mereka terlalu tua untuk diganggu oleh sebagian besar perusahaan, dan itu pasti akan menjadi lebih buruk dengan perangkat IoT sekali pakai. Vendor telepon besar tidak memperbarui perangkat lunak mereka pada telepon berusia 2-3 tahun, jadi bayangkan apa yang akan terjadi dengan perangkat IoT $20 yang mungkin ada di jaringan Anda selama bertahun-tahun. Keusangan yang direncanakan mungkin menjadi bagian darinya, tetapi kenyataannya adalah bahwa memperbarui perangkat lama tidak masuk akal secara finansial bagi pabrikan karena mereka memiliki hal-hal yang lebih baik untuk dilakukan dengan sumber daya mereka. Perangkat IoT yang aman harus aman dengan desain dan tahan dari awal, atau menerima pembaruan penting sepanjang siklus hidupnya, dan saya yakin Anda akan setuju bahwa tidak ada opsi yang terdengar realistis, setidaknya, belum.

Menerapkan kontrol akses yang aman dan autentikasi perangkat terdengar seperti hal yang jelas untuk diangkat, tetapi kami tidak berurusan dengan rata-rata perangkat Anda yang terhubung di sini. Membuat kontrol akses, dan metode otentikasi, yang dapat diimplementasikan pada perangkat IoT yang murah dan ringkas tanpa mengorbankan pengalaman pengguna, atau menambahkan perangkat keras yang tidak perlu, lebih sulit daripada yang terlihat. Seperti yang saya sebutkan sebelumnya, kurangnya kekuatan pemrosesan adalah masalah lain, karena sebagian besar teknik enkripsi canggih tidak akan bekerja dengan baik, jika sama sekali. Dalam posting sebelumnya, saya melihat satu alternatif, enkripsi outsourcing melalui teknologi blockchain; Saya tidak mengacu pada blockchain Bitcoin, tetapi teknologi kripto serupa yang telah dipelajari oleh beberapa pemimpin industri.

Si vis pacem, para bellum – jika Anda menginginkan perdamaian, bersiaplah untuk perang. Sangat penting untuk mempelajari ancaman dan penyerang potensial sebelum menangani keamanan IoT. Tingkat ancaman tidak sama untuk semua perangkat dan ada banyak pertimbangan yang harus dipertimbangkan; apakah seseorang lebih suka meretas boneka beruang putri Anda, atau sesuatu yang sedikit lebih serius? Penting untuk mengurangi risiko data, menyimpan sebanyak mungkin data pribadi dari perangkat IoT, mengamankan transfer data yang diperlukan dengan benar, dan sebagainya. Namun, untuk melakukan semua ini, Anda harus terlebih dahulu mempelajari ancamannya.

Jika semuanya gagal, setidaknya bersiaplah untuk potensi pelanggaran keamanan. Cepat atau lambat itu akan terjadi, pada Anda atau orang lain (well, sebaiknya pesaing). Selalu memiliki strategi keluar, cara mengamankan data sebanyak mungkin dan membuat data yang disusupi menjadi tidak berguna tanpa merusak infrastruktur IoT Anda. Penting juga untuk mendidik pelanggan, karyawan, dan semua orang yang terlibat dalam proses tentang risiko pelanggaran tersebut. Instruksikan mereka tentang apa yang harus dilakukan jika terjadi pelanggaran, dan apa yang harus dilakukan untuk menghindarinya.

Tentu saja, penafian yang baik dan KL juga akan membantu jika Anda akhirnya berurusan dengan skenario terburuk.