Sigurnost Interneta stvari (IoT) godinama se promatra kroz prizmu enkripcije, autentikacije i mrežnih protokola. No posljednjih mjeseci postaje jasno da je najveća prijetnja često puno jednostavnija: zastarjeli, neodržavani uređaji koji i dalje ostaju spojeni na mrežu iako više ne dobivaju sigurnosne zakrpe. Kada takvi uređaji rade na rubu mreže, u industrijskim pogonima ili u kritičnoj infrastrukturi, pretvaraju se u idealne ulazne točke za napadače.
Nedavna direktiva američke agencije CISA, kojom se od saveznih tijela traži zamjena end-of-life (EoL) edge i IoT uređaja zbog rastućih kibernetičkih prijetnji, snažan je signal i za ostatak svijeta. Poruka je jasna: sigurnost IoT-a više se ne može odvojiti od upravljanja životnim ciklusom uređaja. Nije dovoljno zaštititi podatkovni promet; potrebno je planirati cijeli put uređaja – od nabave do sigurnog povlačenja iz upotrebe.
Jaz između radnog vijeka senzora i softverske podrške
U industriji, energetici i pametnim zgradama IoT se često projektira s pretpostavkom da će senzori i edge uređaji raditi 10 ili više godina. Fizički, to je realno: robusni senzori temperature, tlaka, protoka ili vibracija mogu bez većih problema izdržati desetljeće u pogonu.
Međutim, proizvođači softver i firmware za iste te uređaje najčešće podržavaju znatno kraće razdoblje, tipično 3 do 5 godina. Nakon isteka tog razdoblja prestaju sigurnosna ažuriranja, a uređaj ulazi u svojevrsnu „sivu zonu”. I dalje pouzdano mjeri temperaturu ili protok, ali više ne dobiva zakrpe za nove ranjivosti.
U svijetu u kojem broj povezanih uređaja ide prema desecima milijardi, ta siva zona postaje ozbiljan sustavni problem. Svaki takav zastarjeli čvor predstavlja potencijalnu točku ulaza za napad na cijelu mrežu – posebno u slučajevima kada je uređaj spojen na osjetljive sustave upravljanja industrijskim procesima (OT mreže), SCADA sustave ili energetske mreže.
Primjeri iz prakse: kada „stari“ uređaj postane ulaz za napad
U praksi su već zabilježeni incidenti u kojima napadači iskorištavaju upravo stare, zaboravljene uređaje na rubu mreže:
- stari gateway za daljinsko očitanje brojila, koji više nema podršku proizvođača, koristi se kao ulazna točka za širenje malwarea po cijeloj mreži energetskog operatera;
- video-nadzorne kamere u pametnoj zgradi, s prestankom sigurnosnih ažuriranja, postaju dio botneta korištenog za DDoS napade;
- industrijski senzor spojen na PLC kontroler iskorišten je za bočno kretanje napadača prema kritičnim sustavima upravljanja proizvodnjom.
U svim tim slučajevima, uređaji su i dalje ispravno obavljali svoju primarnu funkciju. Problem nije bio u mjerenju ili nadzoru, već u činjenici da su postali nezaštićeni čvorovi u sve kompleksnijoj mrežnoj arhitekturi.
Upravljanje životnim ciklusom: od inventara do povlačenja
Organizacije koje ozbiljno shvaćaju IoT počinju uvoditi formalne procese upravljanja životnim ciklusom uređaja. To znači da se svaki uređaj promatra kroz cijeli njegov vijek: od nabave i instalacije, preko operativne faze, do planiranog kraja života i sigurne zamjene.
Ključni elementi takvog pristupa uključuju:
- Centralizirani registar IoT čvorova – jasna evidencija svih senzora, gatewaya, edge uređaja i kontrolera, s podacima o proizvođaču, modelu, verziji firmwarea, lokaciji i funkciji u sustavu.
- Praćenje EoS/EoL statusa – za svaki uređaj mora biti poznat datum kraja podrške (End of Support) i kraja životnog ciklusa (End of Life), uz automatsko označavanje uređaja koji ulaze u rizičnu zonu.
- Kontinuirano praćenje ranjivosti – povezivanje informacija o uređajima s bazama poznatih ranjivosti (CVE, CISA KEV i drugim relevantnim izvorima) kako bi se brzo identificirali izloženi uređaji.
- Automatizirani alarmi i workflow – kada uređaj uđe u „crvenu zonu” bez dostupnih sigurnosnih nadogradnji, sustav treba generirati alarme i pokrenuti definirane procese: od procjene rizika do planiranja zamjene ili izolacije.
U praksi to znači da IoT platforma više nije samo alat za prikupljanje podataka s terena, već i centralno mjesto za upravljanje rizikom. Ona mora integrirati podatke dobavljača, SBOM (Software Bill of Materials) informacije i izvore o ranjivostima te ih povezati s konkretnim uređajima u polju.
Uloga SBOM-a u transparentnosti i sigurnosti
SBOM, odnosno softverska lista sastavnica, postaje ključan alat za razumijevanje rizika. Za svaki IoT uređaj, SBOM otkriva koje se biblioteke, operativni sustavi i komponente koriste u firmwareu. Kada se pojavi nova ranjivost u nekoj od tih komponenti, organizacija može brzo identificirati koji su uređaji pogođeni.
Bez SBOM-a, reakcija na nove ranjivosti često se svodi na ručno istraživanje i komunikaciju s proizvođačima, što troši vrijeme i ostavlja sustave izloženima. Uz SBOM i automatiziranu integraciju s bazama ranjivosti, reakcija može biti gotovo trenutačna.
Arhitektonski pristup: zero-trust i segmentacija mreže
Za industrijski IoT i kritičnu infrastrukturu, upravljanje životnim ciklusom nije samo operativno pitanje, nego i arhitektonsko. Polazište je da nijedan uređaj ne treba automatski smatrati pouzdanim, čak i ako je unutar interne mreže. Tu na scenu stupa zero-trust pristup.
Zero-trust u IoT kontekstu podrazumijeva:
- strogu autentikaciju i autorizaciju za svaki uređaj i svaku komunikaciju, bez implicitnog povjerenja temeljenog na lokaciji u mreži;
- segmentaciju mreže, gdje se IoT uređaji grupiraju u odvojene segmente ovisno o funkciji, kritičnosti i razini rizika;
- kontrolu bočnog kretanja, kako kompromitacija jednog senzora ne bi automatski značila pristup drugim sustavima;
- mogućnost udaljene izolacije ili gašenja kompromitiranih čvorova bez prekida rada cijelog sustava.
U praksi to znači da se IoT mreže projektiraju s pretpostavkom da će neki uređaji tijekom vremena postati zastarjeli ili kompromitirani. Sustav mora biti dovoljno otporan da to podnese, a da kritične funkcije ostanu zaštićene.
Uređaji projektirani za sigurnost kroz cijeli vijek
Istodobno, raste pritisak na proizvođače da uređaje projektiraju s dužim horizontom podrške i sigurnim mehanizmima ažuriranja. Kupci sve češće traže:
- jasno definirane rokove podrške i obveze proizvođača vezane uz sigurnosne zakrpe;
- sigurne mehanizme za ažuriranje firmwarea (kriptografski potpisane nadogradnje, zaštita od roll-back napada, mogućnost sigurne obnove nakon neuspjelog updatea);
- dizajn koji predviđa segmentaciju funkcija, kako bi se kritične komponente mogle zaštititi i u slučaju kompromitacije manje važnih modula.
Bez takvog pristupa, svaka nova generacija senzora i edge uređaja samo multiplicira tehnički dug. Organizacije ulažu u nove funkcionalnosti, ali istodobno gomilaju sloj po sloj zastarjelih uređaja koje je teško pratiti i sigurno povući iz upotrebe.
Regulatorni pritisak: sigurnost kroz cijeli životni ciklus
Regulatorni okvir u Europi i SAD-u brzo se mijenja. Inicijative poput EU Cyber Resilience Acta i srodnih propisa idu u smjeru formaliziranja obveza proizvođača i korisnika IoT uređaja tijekom cijelog životnog ciklusa.
Očekuje se da će u idućim godinama postati standard:
- obvezno prijavljivanje ranjivosti i transparentna komunikacija prema korisnicima;
- obvezna dostupnost SBOM-a za uređaje povezane na mrežu;
- jasno definirani minimalni rokovi sigurnosne podrške za proizvode koji se koriste u kritičnoj infrastrukturi;
- zahtjevi za procesima upravljanja EoL uređajima, uključujući planiranje zamjene i sigurno zbrinjavanje.
Direktiva CISA-e za savezna tijela u SAD-u, koja nalaže zamjenu EoL edge i IoT uređaja, može se promatrati kao najava šireg trenda. Regulatori više ne gledaju samo na sigurnost softvera, nego i na to koliko dugo i na koji način se taj softver koristi u praksi.
Prednost za organizacije koje djeluju na vrijeme
Organizacije koje već danas uspostave procese za praćenje EoL statusa, planiranje zamjene i automatizirano upravljanje rizikom imat će konkretnu prednost. Moći će širiti svoje IoT mreže bez proporcionalnog rasta površine napada i bez stalnog oslanjanja na ad-hoc intervencije.
Praktični koraci uključuju:
- uspostavu centralnog registra svih IoT uređaja i povezanih sustava;
- integraciju IoT platforme s bazama ranjivosti i SBOM podacima;
- definiranje jasnih politika: kada se uređaj smatra previše rizičnim, pod kojim uvjetima se izolira ili zamjenjuje;
- ugovorne zahtjeve prema dobavljačima oko trajanja podrške, dostupnosti zakrpa i transparentnosti komponenti.
U konačnici, upravljanje životnim ciklusom IoT uređaja prestaje biti „operativna dosada” i postaje jedan od ključnih stupova kibernetičke otpornosti. Organizacije koje to na vrijeme prepoznaju, lakše će se nositi s rastom broja povezanih uređaja i sve sofisticiranijim napadima.
Sigurnost IoT-a više nije samo pitanje kriptografije i protokola. Ona je jednako pitanje inventara, planiranja, ugovornih obveza i sposobnosti da se uređaj pravodobno i sigurno povuče iz pogona. U eri u kojoj je gotovo sve povezano, upravo je kraj životnog ciklusa uređaja nova slaba karika koju treba ojačati.
