Oana Coșman
Ca de exemplu securitatea noastră, a celor care trăim, lucrăm și ne plimbăm prin oraș. Îmbunătățirea modului în care ne folosim de utilități, un transport mai eficient, reducerea poluării, colectarea selectivă a deșeurilor, energie verde, modul în care autoritățile competente sunt anunțate și răspund în cazul unui accident sau a unui incendiu, cutremur.
Un oraș conectat
Pentru toate aceste chestiuni, precum și pentru multe altele, tehnologia oferă și poate dezvolta soluții. Însă cum ajungem să conectăm toate elementele orașului pentru a funcționa împreună? Cum putem avea supraveghere, dar și siguranță, în orașul conectat al viitorului?
”Conceptul de smart city implică folosirea tehnologiilor moderne pentru a asigura servicii la îndemână pentru cetățeni, un consum eficient al resurselor, precum și siguranța publică”, afirmă Dan Demeter, security researcher în cadrul Kaspersky.
”E foarte interesant de făcut mai ales în cazul Bucureștiului. Avem Primăria Capitalei, avem primăriile de sector, companiile, administrația este foarte divizată. Există platforme software acum”, spune și Alexandru Nen, arhitect soluții IoT, smart city, în cadrul Telekom.
Elementul care schimbă jocul
Acesta precizează faptul că în cadrul Telekom, echipa a început să implementeze, încă din urmă cu 3 ani, proiecte pilot în București, la Constanța și la Piatra Neamț, cu scopul de a obișnuit atât administrațiile, cât și utilizatorul final, și a demonstra utilitatea lor.
”Este un gamechanger și pentru ei, dar și pentru noi, cei care realizăm aceste proiecte”, spune Alexandru, menționând faptul că o astfel de platformă e destinată special integrării sistemului de supraveghere cu siguranță smart și cu diverse alte elemente.
”Din punctul meu de vedere, e extrem de multă infrastructură pe stradă, sunt mulți stâlpi pe străzi cu un milion de camere pe ei, una e a Poliției, alta e a Primăriei, una e a unui privat. De ce să montăm 15 camere, când poți să montezi una folosită de toți și să poată fi folosită în funcție de scenariul pe care îl dorește fiecare? E genul de soluție de care este nevoie”, declară specialistul Telekom.
Parteneriat public-privat
La rândul său, Dan Demeter vorbește despre faptul că, o administrație care urmărește să dezvolte un oraș inteligent trebuie să dezvolte o serie de parteneriate cu mediul privat, pentru diferitele paliere ale acestui proiect – de exemplu, camere de luat vederi pentru analiza traficului de la un furnizor, senzorii – de la altul și un al treilea capabil să analizeze toate datele și să furnizeze rapoarte către respectiva administrație. ”Cu alte cuvinte, ea devine o platformă care conectează problemele unei metropole cu posibile răspunsuri, fiind vorba de un proces continuu, cu mai mulți parteneri, nu ceva ce rezolvi o singură dată și gata”, detaliază Dan, security researcher în cadrul Kaspersky.
În același timp, Marian Panait, city manager Sinaia, vine cu propriul exemplu de conectare implementat în oraș.
”Noi am câștigat un proiect de acest gen din urmă cu câțiva ani, proiect prin care am integrat în toată partea de rețea urbană și partea de supraveghere video. Am creat un fel de dispecerat, ceea ce se numește un situation room. Conectează toate camerele care oferă date, toți senzorii, apropo de spațiile libere de parcare, poți da o amendă. La noi funcționează, dar nu e foarte ușor. Funcționează pentru că este un oraș mic”, menționează Marian, care conduce unul dintre cele mai bune exemple de smart cities de la noi din țară, alături de Alba Iulia.
Mai puține costuri, dar și mai puțină criminalitate
Din punctul său de vedere, ca administrator al acestor proiecte și al bugetului, va folosi în continuare orice variantă care reduce costurile, care reduce numărul de personal, care oferă date în timp real și care oferă mai multă securitate.
”Noi îl punem la dispoziție pentru documentare și pregătire și vine lumea să învețe. Funcționează. Are și bug-urile lui, dar ne ajută foarte mult”, mai spune Marian Panait.
Totodată, city managerul orașului Sinaia ne-a dat și un exemplu în ceea ce privește avantajul pe care îl oferă un astfel de sistem conectat, de camere și senzori, la care au acces toate autoritățile competente: ”în 2014 aveam o rată de 1,3 a criminalității în oraș, se considera a fi un oraș destul de periculos, acum e 0,3 gradul de criminalitate. M-am dus mult în jos. Se mai sparg niște mașini uitate pe undeva pe la margine, spre pădure, dar atât”, spune city managerul orașului Sinaia.
Cum protejezi datele colectate?
Însă, o altă chestiune extrem de importantă, după ce reușești să conectezi toate elementele orașului, folosindu-te de tehnologie: te vei trezi pus în fața unui volum enorm de date. Problema care se pune în acel moment este cea a securității acestor informații, pentru a ține în siguranță locuitorii și în mediul digital.
După cum spune specialistul Kaspersky, la fel cum se întâmplă și în cazul IoT, infrastructura unui oraș inteligent se dezvoltă mai repede decât măsurile de securitate cibernetică, lăsând un spațiu periculos de manevră unor atacatori.
”De la terminalele de plată sau de informare aflate în diferite puncte ale orașului – automatele de bilete pentru parcări sau diverse închirieri, la cele de informare, din gări sau aeroport, până la sistemele de control al infrastructurii – camere care înregistrează viteza sau routere de trafic, aceste elemente au câteva puncte în comun. Mai exact, sunt instalate în locuri publice și pot fi accesate la orice oră, pot fi conectate (sau nu) la Internet și între ele, iar unele dintre ele procesează date personale ale utilizatorilor. Cu cât mai complex este un dispozitiv, cu atât mai multe sunt șansele de a avea anumite vulnerabilități de securitate”, declară Dan Demeter.
Atacuri asupra clădirilor smart
De exemplu, nu mai târziu de finalul lunii octombrie aflam că România este pe locul 5 în topul țărilor cu cel mai mare procent de computere din clădiri inteligente atacate, în H1 2019.
Aproape patru din zece (37,8%) computere utilizate pentru controlul sistemelor de automatizare din clădiri au fost supuse unui atac în prima jumătate a anului 2019, potrivit unei cercetări Kaspersky asupra amenințărilor legate de clădirile inteligente.
Sistemele de automatizare din clădirile inteligente constau, de obicei, din senzori și controlere utilizate pentru monitorizarea și automatizarea funcționării ascensoarelor, a ventilației, a climatizării, a energiei electrice și a apei, a alarmelor de incendiu, a supravegherii video, a accesului, precum și a multor altor informații critice și sisteme de securitate.
Acestea sunt, în general, administrate și controlate prin stații de lucru generice, care sunt adesea conectate la internet. Un atac de succes împotriva unei astfel de stații de lucru poate afecta cu ușurință unul sau mai multe sisteme importante din clădirile inteligente. Pe baza analizei de telemetrie procesate de aproximativ 40.0000 de soluții de securitate Kaspersky alese la întâmplare, din clădiri inteligente din întreaga lume, atacurile cibernetice care ar putea provoca astfel de daune sunt o realitate.
Politici de securitate
”Pentru securitatea orașelor inteligente, acestea ar trebui să fie privite ca niște sisteme informaționale a căror protecție trebuie luată în serios. În cazul unei breșe de date, timpul de reacție este foarte important, ca în orice altă companie – cu cât este mai repede descoperită, cu atât se reduc pierderile. Pașii următori sunt detectarea amplorii breșei și închiderea ei, iar ca măsură ulterioară, un audit de securitate care să arate toate vulnerabilitățile. Desigur, breșa de securitate ar trebui anunțată public cât mai rapid. Astfel, oamenii își pot lua măsuri proprii de siguranță”, afirmă Dan Demeter, security researcher în cadrul Kaspersky.
În acest context, ce politici de securitate implementezi pentru a proteja toate echipamentele tech din orașul smart de hackeri?
În opinia lui Alexandru Bălan, Chief Security Researcher la Bitdefender, avem trei probleme fundamentale de care trebuie ținut cont.
”În marea majoritate a cazurilor, evaluarea securității unui echipament, înainte de a fi pus în funcțiune, este defectuoasă și echipamente cu grave probleme de securitate ajung să fie puse în infrastructuri. Într-un scenariu ideal, orice echipament, împreună cu infrastructura din care face parte este supus periodic unor evaluări de securitate atât cu ajutorul unor firme specializate cât și “crowdsourced”, oferind hackerilor etici posibilitatea de a identifica și raporta probleme de securitate pentru a fi apoi remediate”, spune el.
Potrivit specialistului Bitdefender, o altă problemă fundamentală în contextul echipamentelor inteligente este durata suportului acordat de fabricant. În majoritatea cazurilor (aproape toate, de fapt) fereastra de suport este între trei și cinci ani (în cazuri fericite), în contextul în care echipamentul va funcționa activ o perioadă mult mai îndelungată. Cu alte cuvinte, dacă după ce fabricantul nu mai oferă suport pentru echipament este identificată o problemă de securitate, aceasta va rămâne prezentă și va expune atacatorilor atât echipamentul cât și infrastructura din care face parte.
”Nu în ultimul rând, trebuie să vorbim despre “supply chain attacks and vulnerabilities”. Este vorba de situația în care o componentă a echipamentului, componentă aflată în afara sferei de control a clientului sau chiar și a fabricantului, este controlată de o altă entitate care poate fi compromisă. Pe lângă evaluările constante a securității echipamentelor mai sunt necesare sisteme de monitorizare bazate pe inteligență artificială și machine learning, care să alerteze în situația în care un echipament are, brusc, un comportament ieșit din comun. De exemplu, dacă echipamentul vorbește subit cu un IP din China sau Rusia”, adaugă Alexandru Bălan, Chief Security Researcher la Bitdefender.
Accesul la date sensibile
În ceea ce privește acordarea accesului la toate aceste date colectate, Dan Demeter de la Kaspersky susține faptul că accesul ar trebui să fie bine controlat și să existe niște niveluri de acces bine definite.
”Ideal, accesul la date îl au doar autoritățile, respectând normele în vigoare”, spune specialistul Kaspersky, menționând faptul că angajații care gestionează datele dintr-un smart city trebuie să treacă prin training-uri serioase de securitate cibernetică și de gestionare a datelor în siguranță.
”În plus, în momentul dezvoltării și punerii în funcțiune a sistemelor este nevoie și de suportul – intern sau extern – specialiștilor în securitatea cibernetică, pentru a închide cât mai multe dintre porțile pe care atacatorii cibernetici le pot găsi deschise”, concluzionează el.
