Smart home i cyberbezpieczeństwo: wakacyjny test domowej infrastruktury

Wakacyjny wyjazd coraz częściej oznacza, że pusty dom pozostaje intensywnie podłączony do sieci: kamery mają wykrywać ruch, alarmy wysyłać powiadomienia, światła symulować obecność, a aplikacje dawać właścicielowi poczucie kontroli z dowolnego miejsca. Problem w tym, że ta sama infrastruktura, która ma zwiększać bezpieczeństwo, może stać się jego słabym punktem, jeśli działa na starych ustawieniach, bez aktualizacji i bez kontroli dostępu.

6 Min
Smart home
Pixabay

Inteligentny dom miał być obietnicą wygody, ale po cichu stał się prywatną wersją infrastruktury IT. W wakacje widać to szczególnie dobrze: właściciela nie ma, a online zostają kamery, router, zamki, czujniki, aplikacje, konta w chmurze i automatyzacje, które mają pilnować bezpieczeństwa.

To nie jest już temat wyłącznie dla entuzjastów gadżetów. Smart home coraz częściej działa w tej samej sieci, w której znajdują się służbowe laptopy, telefony z dostępem do firmowej poczty, dokumenty klientów i systemy SaaS. Granica między domem a biurem zatarła się więc nie tylko organizacyjnie, ale także technicznie. Domowa sieć stała się częścią środowiska pracy, choć rzadko traktuje się ją z taką samą powagą jak firmowe Wi-Fi.

Skala problemu rośnie wraz z liczbą urządzeń. W przeciętnym domu podłączonym do sieci działa dziś nie tylko komputer i smartfon, ale też telewizor, kamera, drukarka, głośnik, odkurzacz, termostat, wideodomofon, inteligentne oświetlenie i router, który spina całość. Badania nad bezpieczeństwem urządzeń IoT wskazują, że problemem są nie tylko pojedyncze podatności, ale sama architektura tego środowiska: wiele urządzeń ma ograniczone mechanizmy ochrony, długi cykl życia, słabe uwierzytelnianie i zależność od aplikacji producenta oraz chmury.

Najbardziej widocznym symbolem ryzyka są kamery. To zrozumiałe, bo łączą cyberbezpieczeństwo z prywatnością w najbardziej bezpośredni sposób. Przejęcie konta lub urządzenia może oznaczać dostęp do obrazu z mieszkania, nagrań, historii obecności domowników albo informacji o codziennych zwyczajach. Sprawa Ring pokazała, że problem kamer nie ogranicza się do hipotetycznych scenariuszy: amerykańska FTC zarzucała firmie niewystarczające zabezpieczenia, które umożliwiały przejmowanie kont i kamer użytkowników, a także nieuprawniony dostęp pracowników i kontraktorów do nagrań klientów.

Ale kamera nie jest jedynym ani nawet zawsze najważniejszym punktem ryzyka. W smart home słabszym ogniwem może być hub, telewizor, żarówka, głośnik albo urządzenie, o którym użytkownik dawno zapomniał. Z punktu widzenia atakującego takie urządzenie nie musi być celem samym w sobie. Może być wejściem do sieci, z której da się obserwować ruch, szukać kolejnych podatności albo próbować dostać się do bardziej wartościowych zasobów. To dobrze znany mechanizm w firmowym cyberbezpieczeństwie, tylko przeniesiony do mieszkania.

Dlatego router jest ważniejszy niż większość gadżetów. Kamera jest widoczna, ale to router jest centrum dowodzenia domową infrastrukturą. Jeśli działa na starym oprogramowaniu, ma słabe hasło administratora, aktywne WPS, niekontrolowany zdalny dostęp albo niepotrzebne funkcje otwierające usługi na zewnątrz, bezpieczeństwo całego smart home staje się kruche. Minimum higieny to aktualny firmware, silne hasło, WPA2 lub WPA3, wyłączone funkcje, których domownik nie używa, oraz oddzielenie urządzeń IoT od laptopów i telefonów, choćby przez osobną sieć gościnną.

Druga połowa inteligentnego domu znajduje się poza domem. Wiele urządzeń działa przez konta producentów, aplikacje mobilne i chmurę. To tam trafiają powiadomienia, nagrania, konfiguracje, logi, integracje i uprawnienia. Użytkownik może mieć dobrze ustawioną kamerę, ale jeśli konto w aplikacji nie ma MFA, a dostęp nadal mają dawni domownicy, stary telefon albo nieużywana integracja, ryzyko pozostaje realne. W praktyce bezpieczeństwo smart home kończy się dopiero tam, gdzie kończy się konto użytkownika, aplikacja i infrastruktura dostawcy.

Wakacje wzmacniają te zależności. Przed wyjazdem użytkownicy częściej włączają harmonogramy świateł, zdalny podgląd kamer, czujniki ruchu, alarmy i powiadomienia. Czasem dodają dostęp dla sąsiada, rodziny albo osoby opiekującej się mieszkaniem. Dom ma działać bardziej autonomicznie niż zwykle, a właściciel częściej loguje się do aplikacji z sieci mobilnej, hotelowego Wi-Fi albo publicznego internetu. Im bardziej dom ma być samodzielny podczas nieobecności, tym ważniejszy staje się wcześniejszy przegląd kont, haseł, aktualizacji i uprawnień.

Wakacyjny test smart home nie musi być audytem dla specjalistów. Wystarczy sprawdzić, jakie urządzenia są podłączone do sieci, zaktualizować router, kamery, huby, smart TV i aplikacje producentów, włączyć MFA na kontach smart home, zmienić domyślne hasła, usunąć stare udostępnienia i wyłączyć funkcje, których nikt realnie nie używa. Warto też upewnić się, że urządzenia IoT nie działają w tej samej części sieci co sprzęt do pracy, a kamera nie obejmuje przestrzeni sąsiadów, klatki schodowej, chodnika ani innych miejsc, w których nagrywane mogą być osoby postronne.

To ostatnie jest równie ważne jak konfiguracja techniczna. Smart home gromadzi dane nie tylko o właścicielu, ale często także o gościach, kurierach, sąsiadach i przechodniach. Wraz z rozwojem kamer, rozpoznawania twarzy i automatycznej analizy obrazu prywatny monitoring coraz częściej wychodzi poza prywatną przestrzeń. To przesuwa temat z poziomu wygody na poziom odpowiedzialności za dane.

Problem smart home nie polega na tym, że każde urządzenie jest z natury niebezpieczne. Problem polega na tym, że wiele z nich działa latami bez przeglądu, w jednej płaskiej sieci, na kontach bez dodatkowego uwierzytelniania i z ustawieniami, których nikt nie pamięta od pierwszej konfiguracji. Wakacyjny test inteligentnego domu jest więc mniej technologiczną fanaberią, a bardziej podstawową higieną cyfrową. Zwłaszcza wtedy, gdy ta sama infrastruktura ma chronić mieszkanie, prywatność i warunki pracy zdalnej.

Udostępnij