Čím více mezi sebou budou města propojená – od semaforů až po inženýrské sítě – tím více stoupá pravděpodobnost, že je napadnou hackeři, tvrdí experti.
Vize budoucnosti, ve které budou semafory, inteligentní inženýrské sítě a veřejná doprava propojeny a budou si odesílat mezi sebou důležitá data online, je vskutku lákavá.
V Glasgow investovali 24 mil. GBP do technologie inteligentního pouličního osvětlení pro chodce a cyklisty a senzory monitorující dopravní situaci. V Bristolu shromažďují data o zdraví až po znečišťování a vyhodnocují je skrze „operační systém města“. Ve většině měst najdeme nějaká chytrá řešení, tato jsou však výrazně napřed.
Vedoucí pracovník pro výzkum zabezpečení internetové sítě ale varuje, že chytrá města mohou být v budoucnu náchylnější k útokům hackerů více než současné počítače či chytré telefony.
Cesar Cerrudo, vedoucí pracovník oddělení technologií ve výzkumném ústavu IOActive Labs varoval, že se vlády a úřady nezabývají testováním zabezpečení. „Testují funkčnost systémů a zařízení, ale už neprovádějí testy zabezpečení. Takže v podstatě absolutně důvěřují dodavateli,“ řekl.
Ve svém projevu na konferenci RSA v San Francisku se Cerrudo vyjádřil, že se mnoho vlád a úřadů spoléhajících na takové technologie, nezabývá otázkou vybudování efektivního zabezpečení, jako je kupříkladu šifrování – a to je skutečně problém, pokud vezmete v úvahu, že se v poslední době využívá zejména bezdrátových přenosů.
„Všechna ta data v podstatě letí vzduchem. Pokud nemáte dobře nastavené šifrování, může je zachytit kdokoliv a nabourat se do systému,“ řekl.
Také prozradil, že kolem 200 000 senzorů na semaforech po celém světě, od Melbourne až po Londýn, je náchylných k útokům hackerů.
Sean Sullivan, bezpečnostní analytik společnost F-Secure, řekl: „Oddělení pro plánování mohou získat mnoho cenných informací pro zlepšení kvality života ve městech – ale pokud chybí řádné zabezpeční, může k takovým věcem docházet.“
Souhlasil, že taková města jsou „pro hackery spíše napadnutelná“, podle něj se ale spíše staneme svědky celkem úsměvných situací – jako například výměny dálničních známek nebo jednodenních výpadků systému, které budou mít za následek absolutní chaos – než rozsáhlých útoků hackerů.
James Lyne, ředitel výzkumu zabezpečení ve společnosti Sophos řekl, že zabezpečení některých systémů je skutečně obskurní.
„V současnosti se většina zařízení typicky používaných v provozu národní infrastruktury těžce spoléhá na obskurní a izolované způsoby zabezpečení – implementovali zvláštní protokoly, které se běžně nepoužívají a jsou izolované od ostatních sítí ve snaze zamezit neoprávněné manipulaci,“ uvedl Lyne. „Jakmile jsou tyto principy degradovány, nastanou problémy.“
Lyne dodává: „Zatím k útoku na taková zařízení nedošlo. Myslím, že je to především z toho důvodu, že pro ně nepředstavují lukrativní finanční či politický profit.“
„Nejpopulárnějším cílem i nadále zůstávají běžná zařízení, která používám já nebo vy, na tom vydělávají mnohem více, ale to se samozřejmě může změnit.“
S ohledem na bezpečnostní rizika je celkem překvapivé, že někteří prodejci (tedy ti, co prodávají různá zařízení a technologie, které pro svůj provoz potřebují internetové připojení) odmítají své produkty testovat odborníky, jakým je kupříkladu Cerrudo – a to dokonce i v případě, že by měli zájem je koupit.
„Pokud vědí, že zkoumáte zabezpečení, nic vám neprodají,“ řekl, aniž by poukázal na konkrétní prodejce. „Už se mi to stalo, když jsme zkoumali možnosti inteligentního pouličního osvětlení. Zkoušel jsem to, nic mi neprodali.“
Cerrudo uvádí, že méně známé a zaběhnuté společností vidí ve výzkumu zabezpečení jistou hrozbu, a to navzdory tomu, že řada zaběhnutých společností celkem běžně spolupracuje s externími výzkumníky či hackery, kteří jim pomáhají identifikovat slabá místa v zabezpečení.
A dokonce i v případě, že firmy s výzkumníky spolupracují na odhalování a odstraňování chyb v zabezpečení, v měřítku chytrých městských systémů může instalace aktualizací trvat celé měsíce nebo dokonce roky.
„Někdy ani nemají ty správné mechanismy, které by umožnily rychlou instalaci bezpečnostních aktualizací jejich systémů a zařízení,“ řekl. „Tady čelíme obrovské výzvě, protože pokud se objeví nějaký problém v zabezpečení, je třeba ho vyřešit pokud možno co nejrychleji. Pokud se vám to nepodaří, jste vydáni napospas útokům.“
Jaká bezpečnostní opatření tedy lze učinit? Vlády by měly být při nákupu technologických řešení pro města budoucnosti zodpovědnější, měly by brát v potaz, jak moc důležité je zabezpečení a ujistit se, že systémy skutečně fungují.
Podle Cerruda by všechna chytrá města měla mít svůj vlastní pohotovostní tým (Computer Emergency Response Team, zkr. CERT) – stejně jako spousta velkých společností – který se vypořádá s útoky, pomůže prodejcům odstranit nedostatky a provede kontrolní testy odolnosti systému vůči útokům zvenčí.
„V případě, že dojde k útoku, město nebude vědět, co dělat nebo jak se zachovat. V některých oblastech mají daná opatření pro případ záplav nebo zemětřesení, ale pochybuji o tom, že jsou připraveni na kybernetické útoky.“