Pri internetu stvari številni hodijo po robu

Podjetja v povezavi z internetom stvari skrbi predvsem varnost. Jo lahko zagotovimo? »Dolgoročno vsekakor. A bodo za to morali sodelovati prav vsi v verigi interneta stvari. SecureWorks kot specializirano varnostno podjetje že zdaj obvlada veliko zaznavnih tehnologij, z njimi varnostno osmislimo zelo veliko informacij. V bistvu podjetjem pomagamo ločiti signal od šuma,« pravi sogovornik.

Sedanje varnostne rešitve se mi zdijo precej statične – varujejo določene točke v podjetju, kot so strežniki, omrežni prehodi in računalniki zaposlenih. Internet stvari gotovo zahteva bolj dinamično varnost, saj se tudi grožnje sproti prilagajajo. Kako zavarovati internet stvari, kje začeti?

Varnost je »gibljiva tarča«, igra mačke z mišjo. Nanjo lahko gledate kot na dirko ali vojno. Na obeh straneh so ljudje, eni napadajo, drugi branijo. Res je, da so statične rešitve obsojene na neuspeh, to je pač njihova usoda. Naša naloga in pristop temeljita na tem, da varnostnih ograj ne postavljamo le vse više, ampak jih tudi spreminjamo. Če napadalec prebije ena vrata, ga že čakajo druga. Razumemo naravo varnostnih groženj, jih modeliramo in se posledično bolje branimo. Tudi napadalci nenehno pripravljajo nove napade.

Omenili ste, da bo za varen internet stvari nujno sodelovanje vseh, ki v njem delajo. Kdo ne prispeva svojega deleža?

Skoraj vsi bi lahko naredili veliko več – tako proizvajalci strojne kot programske opreme, saj niso le naprave tiste, ki so pomanjkljivo zasnovane, tudi aplikacije so včasih prava varnostna katastrofa. Pri internetu stvari številni hodijo po robu, rešitve so relativno nezrele, veliko je razpok in pomanjkljivosti.

Toda od proizvajalca hladilnikov, ki je šele »včeraj« vanje vgradil zaslon in omrežno povezavo, vendarle ne moremo pričakovati, da bo tudi varnostni strokovnjak?

Jasno, zato pa je eden od učinkovitih varnostnih pristopov večslojna varnost v povezavi s filozofijo, da je treba taka podjetja zaščititi pred njihovo lastno nesposobnostjo. Naslednji izziv, očiten predvsem na področju interneta stvari, je varnost vgraditi v vse gradnike, v vsako raven poslovanja. Ob vseprisotnosti tega področja je jasno, da bo nekdo vedno najšibkejši člen. A pomembno je to, da si podjetja prizadevajo iskati rešitev. SecureWorks dela na hibridnem pristopu – prihodnosti ne moreš napovedati, zato jo želimo zavarovati. Nihče si ne želi naslovnic z informacijami o botnet napadih, zlorabah podatkov ipd.

Kaj pa tehnologije samodejnega učenja – jih je mogoče uporabiti pri varnostnih rešitvah? Se bodo varnostne rešitve v prihodnje razvijale same in presegle programsko kodo, ki so jo napisali programerji?

Nisem prepričan, da se bo to zgodilo, tudi če se bo, smo od česa takega še zelo oddaljeni. Do zdaj smo se na računalnike zanašali predvsem pri obdelavi podatkov, z njihovo pomočjo so obdelali več informacij, kot zmoremo sami. V bližnji prihodnosti, že v nekaj letih, bodo stroji vsekakor razširili naše zmogljivosti in storili kaj, česar tudi ekipa zaposlenih ne bi zmogla.

Kako pa naj podjetja pristopijo k varnosti? Za številne med njimi še vedno ni prioriteta, želijo si, da bi bila nekaj, kar »privijačiš« k poslovanju in si varen.

Varnost je potovanje, ne glede na to, kakšno in kako veliko podjetje si, vsi se morajo braniti. Je pa res, da je varnost zdaj preveč kompleksna, morala bi biti preglednejša. V bistvu me bolj kot sama oblika varnostnih rešitev skrbi to, da družba postaja otopela na vdore, kraje podatkov in identitet itd. To ni v redu. Ljudje smo pripravljeni zasebnost zamenjati za kako korist – ne vem, ali to delamo zavestno, mogoče gre za generacijsko napako. Varnost bo treba »živeti«, ne pa vijačiti zraven.

Bo varnost postala storitev, podobno kot se to dogaja z drugimi področji IT?

Gotovo, vse gre v to smer. Ne bo več osredotočanja na varnostne izdelke, ampak tudi storitve. To je tudi prava pot, če ne želimo biti statični.

Kako pa naj bo videti ustrezno zavarovano podjetje?

Varnost mora biti kakovostna in celovita. Za večino podjetij to pomeni, da zanjo ne morejo skrbeti sama, saj nimajo niti specializiranega kadra niti sredstev zanj. Direktor varnosti mora razumeti poslovna tveganja in primerno ukrepati, prepoznati, kaj je treba varovati, in to zaščititi. Varnostne rešitve in pristopi pa se razlikujejo od podjetja do podjetja.

Prihodnost računalništva bo menda razdeljena med tri ključne stebre – rob, jedro in oblak, ki bodo medsebojno sodelovali. Kateri bo po vašem mnenju najšibkejši člen z vidika varnosti?

Težko pokažem s prstom, saj je jedrni vidik še relativno nov in ga težje označim za šibkega ali močnega. Oblak je varnostno stabilen, z njegovim varovanjem se ukvarjajo specialisti, rob je vsekakor šibkejši od oblaka. Če se ne bo nič spremenilo, bo rob verjetno najšibkejši člen. Inovatorji pač iščejo hitre rešitve za svoje ideje in se ne ukvarjajo z varnostjo. Ideja mora najprej delovati, šele potem jo bodo mogoče (za)varovali.