Nii mõnigi arenenud maailma igapäevane ese on praegu sageli seletamatul viisil Internetiga ühendatud. See lisab veel ühe võimaliku tehnoloogilise rikke kihi, mis võib isiklike seadmete jaoks olla lõbusalt häiriv: rulood, mis ei avane, mikrolaineahjud et ärge kohanege ajamuutustega, külmikud, mis vajavad püsivara värskendusi.
Kuid ettevõttes, kui asjade Interneti seadmed ebaõnnestuvad, pole see Twitteri-lõime nali. Tehase montaažiliinid lihvivad seisma. Haiglate pulsikellad lülituvad võrguühenduseta. Algkooli nutitahvlid lähevad pimedaks.
Nutiseadmete tõrked on ettevõtlusmaailmas kasvav risk ja mitte ainult selle tõttu sageli arutatud turvamured. Põhjus on selles, et mõned nende seadmete juursertifikaadid – mis on vajalikud turvaliseks Interneti-ühenduse loomiseks – aeguvad.
"Seadmed peavad teadma, mida usaldada, nii et juursertifikaat on seadmesse autentimisvahendina sisse ehitatud," selgitab turvateadlane Scott Helme, kes juursertifikaadi aegumise probleemi kohta põhjalikult kirjutatud. "Kui seade on looduses, proovib see helistada "kodule" - API-le või tootja serverile - ja kontrollib seda juursertifikaati, et öelda: "Jah, ma loon ühenduse selle õige turvalise asjaga." Sisuliselt [juur. sertifikaat on] usaldusankur, tugiraamistik, mille abil seade teab, mida see räägib.
Praktikas on see autentimine nagu võrk või kett. Sertifikaadiasutused (CA-d) väljastavad igasuguseid digitaalseid sertifikaate ja üksused "vestlevad" üksteisega, mõnikord mitmel tasemel. Kuid selle ahela esimene ja kõige olulisem lüli on alati juursertifikaat. Ilma selleta ei saaks ükski ülaltoodud tasemetest ühendusi võimalikuks teha. Nii et kui juursertifikaat lakkab töötamast, ei saa seade ühendust autentida ega loo Interneti-ühendust.
Siin on probleem: krüpteeritud veebi kontseptsioon töötati välja umbes 2000. aastal – ja juursertifikaadid kehtivad tavaliselt umbes 20–25 aastat. 2022. aastal oleme siis selle aegumisperioodi keskel.
CA-d on viimase kahe aastakümne jooksul välja andnud palju uusi juursertifikaate, loomulikult palju enne aegumist. See toimib hästi isiklike seadmete maailmas, kus enamik inimesi läheb sageli üle uutele telefonidele ja klõpsavad oma sülearvutite värskendamiseks, et neil oleks need uuemad serdid. Kuid ettevõttes võib seadme värskendamine olla palju keerulisem või isegi võimatu – ja sellistes sektorites nagu tootmine võivad masinad 20–25 aastat hiljem ikka veel tehases olla.
Ilma Interneti-ühenduseta "ei ole need seadmed midagi väärt," ütleb masina identiteedihaldusteenuste pakkuja Venafi turbestrateegia ja ohuteabe asepresident Kevin Bocek. "Need muutuvad sisuliselt tellisteks [kui nende juursertifikaadid aeguvad]: nad ei saa enam pilve usaldada, ei saa vastu võtta käske, andmeid saata ega tarkvaravärskendusi vastu võtta. See on tõeline risk, eriti kui olete tootja või operaator."
Hoiatuslask
Risk ei ole teoreetiline. 30. septembril massiivse CA väljastatud juursertifikaat Let's Encrypt aegunud — ja mitmed Interneti-teenused katkesid. Aegumine ei olnud üllatus, kuna Let’s Encrypt oli oma kliente juba pikka aega hoiatanud, et nad uuendaksid uut serti.
Ometi kirjutas Helme a blogi postitus 10 päeva enne aegumist ütlesin "Vean kihla, et sel päeval lähevad mõned asjad tõenäoliselt katki." Tal oli õigus. Mõned Cisco, Google'i, Palo Alto, QuickBooksi, Fortineti, Auth0 ja paljude teiste ettevõtete teenused ebaõnnestusid.
"Ja kummaline asi selles," räägib Helme Dark Readingile, "et Let’s Encrypti kasutavad kohad on oma olemuselt väga kaasaegsed – te ei saa lihtsalt minna nende veebisaidile ja maksta oma 10 dollarit ja laadida oma sertifikaat käsitsi alla. Seda peab tegema masin või nende API kaudu. Need kasutajad olid edasijõudnud ja see oli ikka väga suur probleem. Mis juhtub siis, kui näeme nende suurettevõtete klientidega vanemate CA-de [aegumist]? Kindlasti on koputusefekt suurem.
Tee edasi
Kuid mõningate muudatuste korral ei pea see edasiminek toimuma, ütleb Venafi Bocek, kes näeb väljakutset teadmiste ja käsuliinina – seega näeb ta lahendusi nii teadlikkuses kui ka varases koostöös.
"Olen väga põnevil, kui näen turvaülemaid ja nende meeskondi tootjate ja arendajate tasandil kaasa löömas, " ütleb Bocek. "Küsimus ei seisne ainult selles, kas me saame välja töötada midagi, mis on ohutu?", vaid "Kas me saame selle kasutamist jätkata?" Sageli on nende väärtuslike ühendatud seadmete kasutamise eest jagatud vastutus, seega peame olema selged, kuidas hakkame sellega tegelema kui äri.
Sarnased vestlused toimuvad ka infrastruktuurisektoris, ütleb Tenable'i operatiivtehnoloogia ja asjade Interneti asejuht Marty Edwards. Ta on ametilt tööstusinsener, kes on töötanud kommunaalettevõtete ja USA sisejulgeolekuministeeriumiga.
"Ausalt öeldes on kommunaalteenuste ja tehastega tööstusruumis murettekitav iga sündmus, mis põhjustab tootmisseisaku või -kadu," ütleb Edwards. "Nii et nendes erialaringides uurivad insenerid ja arendajad kindlasti [juuresertifikaatide aegumise] mõju ja seda, kuidas me saame neid parandada."
Kuigi Edwards rõhutab, et on nende vestluste ja küberjulgeoleku kaalutluste suhtes hankeprotsessi ajal "optimistlik", usub ta, et vaja on ka rohkem regulatiivset järelevalvet.
"Midagi nagu hoolduse põhistandard, mis võib-olla sisaldab keelt sertifikaadisüsteemi terviklikkuse säilitamise kohta," ütleb Edwards. "Erinevate standardirühmade ja valitsuste vahel on peetud arutelusid näiteks missioonikriitiliste seadmete jälgitavuse üle."
Mis puutub Helmesse, siis talle meeldiks, kui ettevõtte masinad oleks seadistatud uuendusteks realistlikult ja kasutajale või tootjale vähe vaevarikkal viisil – uus sertifikaat väljastatakse ja värskendus laaditakse alla võib-olla iga viie aasta tagant. Kuid tootjaid ei motiveerita seda tegema, välja arvatud juhul, kui ettevõtte kliendid seda taotlevad, märgib ta.
"Üldiselt arvan ma, et see on asi, mida tööstus peab parandama," nõustub Edwards. "Hea uudis on see, et enamik neist väljakutsetest ei pruugi olla tehnoloogilised. Pigem on vaja teada, kuidas see kõik toimib, ning õigete inimeste ja protseduuride paika panemine.
