Безопасность Интернета вещей - кто за это отвечает?

Часто люди считаются самым слабым звеном в цепочке безопасности, поскольку их обманывают, заставляя раскрывать пароли или выбирать пароли, которые легко расшифровать. Это заблуждение, которое может привести некоторых владельцев бизнеса или ИТ-специалистов к мнению, что Интернет вещей, учитывая его почти полный уровень автоматизации, по своей сути безопасен. Нет ничего более далекого от истины, потому что ничто не является безопасным по своей сути.

Среды Интернета вещей представляют собой лабиринт возможностей для киберпреступников, и в этом году ожидается, что этот лабиринт вырастет в размерах на 15% (в годовом исчислении) и достигнет 20 миллиардов устройств, согласно IHS Markit . . Чтобы представить это в контексте, общее количество уникальных мобильных подписок во всем мире составляет 4,9 миллиарда (по данным GSMA ). По словам Санджая Хатри, глобального директора по маркетингу продуктов Cisco , Интернет вещей превосходит мобильное использование P2P с точки зрения подключений и, следовательно, с точки зрения потенциальной возможности нарушения безопасности. Интернет вещей.

Цепочка добавленной стоимости IoT длинная и сложная, каждый элемент которой важен и взаимозависим. Каждое звено в цепочке представляет собой потенциальную уязвимость, и, как и в любой другой отрасли, ни один провайдер не может покрыть все уязвимости безопасности Интернета вещей.

Эта фрагментированная среда означает, что безопасность Интернета вещей занимает целую деревню.

Создание деревни безопасности Интернета вещей

Производитель устройства, возможно, является наиболее очевидным звеном, ведущим к IoT-звену. Эти фирмы не обязательно являются производителями подключаемых «вещей», а скорее являются специализированными производителями таких элементов, как коммуникационные модули и датчики, которые позволяют подключать предметы.

Установление ответственности за сохранность вещей имеет решающее значение. Сторона, несущая техническую ответственность, может отличаться от стороны, которую конечные пользователи считают ответственной. Тем не менее, в конечном итоге, конечные пользователи будут нести ответственность, поскольку они окажутся на линии огня, если что-то пойдет не так.

Конечные пользователи, скорее всего, будут рассматривать поставщика оборудования как ответственную сторону, но проблемы, скорее всего, будут существовать в программном обеспечении. Разработчикам необходимо включить строгий контроль для аутентификации доступа пользователей, а программное обеспечение Интернета вещей должно иметь надежные механизмы обнаружения и предотвращения мошенничества для защиты как устройства, так и данных.

Уязвимости также существуют на сетевом уровне, поскольку устройства подключаются к Интернету через сотовую связь, Wi-Fi, Bluetooth, LPWAN или даже через спутник. В случае сотовой связи уже есть определенный уровень безопасности. Сотовая связь использует глобальные стандарты, такие как ключи шифрования и алгоритмы шифрования на самой SIM-карте для безопасной передачи и приема данных. Сотовый Интернет вещей также позволяет анализировать данные устройства в частных сетях, чтобы изолировать их от другого сетевого трафика.

Поставщики облачных платформ также будут играть ключевую роль в разработке полностью функционирующего ландшафта безопасности Интернета вещей. Некоторые, например IBM, Microsoft и Salesforce , будет сосредоточена на защите данных, генерируемых подключенными устройствами в облаке. Платформы Интернета вещей будут управлять, отслеживать и защищать подключение развернутых устройств.

Защита устройства

Уровень риска, связанный с устройством, будет варьироваться в зависимости от контекста того, как оно используется. Для защиты подключенных устройств следует учитывать такие уровни безопасности, как аутентификация, доступ пользователей, доступ к приложениям, управление жизненным циклом устройства и шифрование данных.

Часто существует компромисс между защитой всего и оплатой за все, и это может быть весьма заметным для устройств, где используется большое количество устройств. Кроме того, данные устройства имеют разные уровни чувствительности. Понимание того, какие устройства и сколько используются, а также тип собираемых данных - важнейшие первые шаги в построении соответствующей стратегии безопасности устройства.

Сеть и защита данных

Если устройства являются шлюзами, то сети представляют собой магистрали подключения, по которым данные передаются в облачные приложения, предоставляющие услуги IoT. Защита этой магистрали так же важна, как и обеспечение безопасности устройств, потому что, хотя устройства могут быть безопасными, в любой сети есть множество точек входа. Существует множество вариантов защиты сети, и используемая стратегия будет зависеть от типа подключения, сетей и использования устройства.

Для беспроводных подключений, таких как Wi-Fi или сотовая связь, а также для фиксированных линий связи, каждый имеет свой собственный набор протоколов безопасности. Данные устройства всегда должны быть зашифрованы и проанализированы в защищенных частных сетях, а не отправлены открыто через Интернет. Кроме того, сетевая аутентификация позволяет пользователям проверять и авторизовать устройства как в сети, так и в приложениях в сети.

Облачность

IoT связан с подключением устройств через защищенные сети к облаку, поэтому важность надежной облачной безопасности невозможно переоценить. При защите облачной инфраструктуры организациям следует учитывать как цифровые, так и нецифровые методы обеспечения безопасности. Соблюдение таких стандартов, как ISO / IEC 27001, может стать важной частью общей стратегии обеспечения информационной безопасности.

Помимо обеспечения безопасности всей среды, предприятиям необходимо обеспечить детальный контроль самих приложений IoT, в частности, доступ на основе ролей и обнаружение аномалий. Используя ролевой доступ, организации должны внедрить управление идентификацией и списки контроля доступа, чтобы гарантировать, что приложения в облаке предоставляют правильный доступ нужным людям. Обнаружение аномалий гарантирует, что платформа IoT может не только обнаруживать аномальное или подозрительное поведение, но и автоматизировать устранение любых аномалий.

Контрольный список безопасности Интернета вещей

Прогнозы роста Интернета вещей огромны, однако огромная выгода сопряжена с огромным риском. Компании по всей цепочке создания стоимости должны иметь целостный взгляд на деревню безопасности, что, конечно, легче сказать, чем сделать.

Чтобы сфокусировать свою стратегию безопасности Интернета вещей, обязательно:

• Оценить сквозную идентификацию и аутентификацию всех объектов, задействованных в службе IoT (т.е. шлюзов, оконечных устройств, домашней сети, сетей роуминга, сервисных платформ).
• Убедитесь, что все пользовательские данные, совместно используемые конечным устройством и внутренними серверами, зашифрованы.
• Хранить и использовать «личные» и регулируемые данные в соответствии с местным законодательством о конфиденциальности и защите данных.
• Используйте платформу управления подключением IoT и установите политики безопасности на основе правил для немедленных действий в случае аномального поведения.
• Применяйте целостный подход к безопасности на уровне сети.

Автор этого блога - Санджай Хатри, глобальный директор по маркетингу продуктов Cisco IoT