Milijarde neustrezno zaščitenih internetnih naprav grozijo varnosti in zaupnosti

Slovenska strokovnjakinja za kriptografijo, dr. Nastja Cepak iz podjetja CREAplus, je na konferenci CIOSEC 2022 slovenskim direktorjem in vodjem oddelkov informatike predstavila tveganja in dobre prakse zaščite digitalnih identitet ljudi in naprav. Kot je napovedala dr. Cepak, se bo uporaba interneta stvari (IoT – internet of things), ki je osnova pametnih naprav, z uvajanjem omrežij 5G hitro povečevala. V digitalnih sistemih bo tako do leta 2030 delovalo že skoraj 30 milijard naprav. Med ključnimi izzivi se pojavlja zagotavljanje varnih identitet naprav ter zaščita tako podatkov, ki jih zajemajo, hranijo in izmenjujejo, kot tudi njihove vdelane programske opreme. Da ne gre za preproste probleme, potrjuje dejstvo, da se pametne naprave že uporabljajo v vseh dejavnostih, od pametnih domov in nosljivih naprav do javne infrastrukture, telekomunikacij, zdravstva, finančnih storitev, logistike in proizvodnje.

Dr. Cepak je v uvodnem predavanju v okroglo mizo Varnost IoT v času sodobnih tehnologij izpostavila nujnost uporabe digitalnih podpisov in infrastrukture javnih ključev pri zagotavljanju identitet naprav IoT.

“Naraščajoč obseg naprav IoT po eni strani zahteva povečanje zaščite, po drugi strani pa avtomatizacijo upravljanja digitalnih identitet. Odgovore na to dajejo infrastruktura javnih ključev ter upravljanje in shranjevanje ključev v posebnih napravah, ki jih poznamo kot strojni varnostni moduli,” je povedala dr. Nastja Cepak, vodja kriptografskega oddelka v podjetju CREAplus.

Pri tem je poudarila, da morajo proizvajalci in uporabniki naprav IoT zagotoviti tudi varne načine za injeciranje in posodabljanje vdelane programske opreme, kar se tudi izvaja z uporabo strojnih varnostnih modulov. Skupaj z digitalnimi podpisi tako preprečijo, da bi prišlo do zlorab naprav pred in med njihovo uporabo.

Podjetja in javne ustanove potrebujejo močnejše šifrirne algoritme

Posebno pozornost je dr. Cepak namenila tudi kvantnemu računalništvu. Slednje je še v povojih, vendar morajo organizacije v javnem in zasebnem sektorju že razmišljati o uporabi močnejših, post kvantnih kriptografskih pristopov pri ščitenju podatkov. Dr. Nastja Cepak, ki se med prvimi v Sloveniji ukvarja s post kvantno kriptografijo, je povedala, da čeprav še ne vemo, kdaj natančno bodo kvantni računalniki postali del naše realnosti, bodo v prihodnjih letih in desetletjih sposobni prebrati danes zašifrirane tajne podatke varnostno-obveščevalnih služb, javnih uprav, bank ter poslovne skrivnosti podjetij.

Specializirana podjetja, kot je CREAplus, sicer že ponujajo kriptografske rešitve, ki bodo varne pred kvantnimi računalniki, vendar bo njihovo razširjanje po mnenju dr. Cepak odvisno tudi od standardov. Te lahko v Evropi pričakujemo do leta 2024, omogočili pa bodo predvsem razširjanje post kvantnih kriptografskih metod in tehnologij v digitaliziranih procesih, storitvah in izdelkih.