Alkalmam volt a közelmúltban olyan fejlesztőkkel elbeszélgetni, akik beágyazott szoftvereket kódolnak emberek gyógyítására használatos berendezésekbe. Főként arról folyt a szó, hogy ha a kiberbiztonsági szempontokat is figyelembe kell venniük, akkor változtatniuk kell azon, ahogy e programokat tervezik és kódolják.
Beágyazott szoftverek működnek olyan eszközök és berendezések millióiban, amelyekről az emberek nagy többsége nem is gondolná, hogy van bennük processzor, számítógép. Ilyen programok működnek gyerekjátékokban, autókban, biztonsági berendezésekben, pacemakerekben, televíziókban és hadászati célú rakétákban - csupán néhányat említek, de ennyiből is kiviláglik, hogy e szoftverek bonyolultsága igen széles skálán mozog.
Az informatika kezdeti időszakában az efféle programok fejlesztése során a készítőknek arra kellett ügyelniük, hogy a beágyazott kis számítógépek a lehető legkevesebb erőforrás (áramfelvétel, memória) felhasználásával a lehető leghatékonyabban és minden hiba nélkül, az elvárt időkereteken belül, pontosan hajtsák végre a rájuk rótt feladatokat.
Gyökeres architekturális változást hozott a digitális hálózatok mindenütt való jelenléte (ubikvitása), a konnektivitás totális elérhetősége. Szinte egyik napról a másikra a korábban semmi más digitális eszközhöz, hálózathoz nem csatlakozó berendezések a dolgok internetjének világában találták magukat. Mindez úgy ment végbe, hogy időközben a kiberbűnözés eszköztára kifinomodott, erőforrásai megsokszorozódtak (lásd például az állami kibertámadó központok kiépülése és megerősödése), másként fogalmazva: hamar rátaláltak a rosszfiúk a rendszerek biztonsági szempontból harmatgyengének mondható pontjaira.
Mindenki, aki az üzleti életben valamilyen módon érintett a beágyazott szoftverek ügyében, a termékfejlesztő, a programozó, a beágyazott szoftvereket futtató berendezéseket rendszerbe tervező architekt, a rendszerek működtetésének főnöke, az informatikai vezető (itt csak néhányat említve a hosszú listáról), át kell, hogy gondolja, mit kell másként tennie azért, hogy a beágyazott szoftvert futtató pontok ne legyenek a rosszfiúk könnyű prédái.
Magától értetődő, hogy az ilyen programok fejlesztői mostanság a kiberbiztonsági szempontokat is ugyanolyan súllyal veszik figyelembe, mint például a funkcionális megfelelőséget, amiként a többi érintettnek is ajánlott elkészítenie az idevonatkozó cselekvési tervét.
Ehelyütt az informatikai vezető számára foglalom össze azokat a lényegesebb tennivalókat, amelyeket elvégezve szerintem csökkenthető annak a veszélye, hogy az általa felügyelt rendszer működése rémálommá válik akár egyetlen beágyazott szoftvert futtató eszköz sérülékenysége miatt is.
Mindenekelőtt javallott egy olyan leltár elkészítése, amely számba veszi a rendszerbe kötött beágyazott eszközöket, lehetőleg az eszközök beszerzésének idejével egyetemben. (Minél idősebb egy ilyen eszköz, annál valószínűbb, hogy sérülékeny.)
Ezután az eszközök gyártóit nyilatkoztatni kell arról, hogy kiberbiztonsági szempontból terméküket megfelelőnek tartják-e. Megeshet, hogy a gyártótól nem érkezik értékelhető és megnyugtató válasz - ilyenkor a csere a megoldás, az eszközt újjal, biztonságossal kell leváltani. A rosszfiúk kedvenc betörési pontjai például az IP-kamerák, amelyeknek gyártói közül csak kevés fordított eddig figyelmet arra, hogy termékeik képesek legyenek ellenállni a betörési kísérleteknek.
Egy ilyen audit alkalom arra is, hogy átgondoljuk, vajon az ilyen eszközök a hálózat kellően védett szegmenseiben működnek-e, és azt is, feltétlenül szükséges-e a használatuk, esetleg kiválthatók-e más módon.