Chytré ventily na topení mají závažné zranitelnosti: ochrana není úplně jednoduchá – používáte je také?

Chytré topení má zranitelnosti: nedostatečně zabezpečuje data uživatelů

Motivace k nákupu chytré termostatické hlavice na těleso radiátoru má své opodstatnění. Umožňuje vyšší úroveň řízení vytápění, a tím i dosažení maximálních možných úspor. Přitom lze dosáhnout stavu, že když potřebujete, máte v interiéru příjemně teplo.

Výsledky nejnovější studie, která se u inteligentních termostatů zaměřila na uživatelskou vstřícnost, podporu a řešení zranitelností, však nejsou nijak povzbudivé. Spíš naopak.

Termostatické hlavice vykazují četné bezpečnostní mezery

Podle studie, kterou provedl Bezpečnostní institut u našich západních sousedů, mnoho výrobců bezpečnost u svých produktů zanedbává. "Špatně zabezpečená zařízení a sítě kyberzločincům nabízejí příležitosti k útokům, jejichž cílem je špehovat informace – především citlivé údaje. Zařízení se zneužívají i k jiným kriminálním účelům."

Chybně konfigurovaná zařízení navíc skrývají riziko nežádoucího úniku dat, a to i bez cíleného útoku. Alarmující je skutečnost, že přestože většina prověřovaných inteligentních termostatických hlavic pro radiátory splňuje alespoň některé ze základních evropských bezpečnostních požadavků na zařízení internetu věcí (IoT), přesto rizika existují. Jde především o následující:

• bezpečností díry typu "cross-site-scripting": v tomto případě se jedná o možnost spouštění rizikového kódu z příkazové řádky,
• nešifrovaná komunikace se servery výrobce,
• nezabezpečené ukládání citlivých a důvěrných dat,
• nejasné koncepty autorizace,
• nedostatečná bezpečnostní kontrola.
   

Dalším četným problémem je, že se termostatické hlavice nabízejí jako produkty z kategorie "white-label". Zkratkovitě jde o modely, kdy se často neví, kdo se vlastně za zařízením či aplikací skrývá, kdo je výrobcem. To má souvislost i s tím, že pro některé typy hlavic nejsou k dispozici dostatečné návody.

Většina dostupných návodů se soustředila výhradně na instalaci produktu a například otázkami bezpečnosti se vůbec nezabývala. Potřeba kontroly bezpečné konfigurace instalace nebyla popsána u 90 % (!) produktů.

Studie také poukázala na nedostatečné reakce výrobců v případě zjištění bezpečnostního problému. V jednom případě bylo zjištěno, že objevené zranitelnosti nebyly včas odstraněny.

Kontaktním místem pro detekované zranitelnosti je obvykle zákaznická podpora. Ovšem v mnoha případech pro ni nebyla jednoznačně určená standardizovaná kontaktní adresa. Mimochodem, v budoucnu to v souladu s novelou zákona o kybernetické odolnosti bude vyžadováno (Cyber Resilience Act – CRA).

Jak se můžete chránit?

Nabízí se celou věc uzavřít konstatováním, že nejlepším řešením je inteligentní termostatické hlavice vůbec nepoužívat. To by ale bylo z pohledu investovaných peněz za jinak velmi praktické řešení škoda. Pak se nabízí několik dalších možností:

• před nákupem konkrétní "chytré" hlavice si vyhraďte čas a udělejte si vlastní rešerši serióznosti výrobce, případně hodnocení produktu,
   
• vyhněte se produktům, které jsou dodávány se zastaralými operačními systémy, nebo dokonce bez příslibu aktualizace,
   
• zaměřte se na bezpečnostní aspekty: například šifrovaný přenos dat a podpora dvoufaktorového ověřování,
   
• nahraďte výchozí hesla dostatečně silnými vlastními hesly,

• pro uživatelské účty si nastavte dvoufaktorové ověřování,
   
• bezpečné alternativy pro hesla nabízejí například správci hesel, jejich využívání se obecně doporučuje,
   
• pomocí samostatné skupiny v rámci Wi-Fi můžete chytré hlavice oddělit od ostatních zařízení v domácnosti,
   
• deaktivujte funkce, které nebudete používat,
   
• pravidelně prověřujte, zda jsou pro vaše produkty k dispozici aktualizace a v kladném případě je neprodleně instalujte.

Zdroj: BSI