Обеспечение кибербезопасности и конфиденциальности при внедрении Интернета вещей

Интернет вещей все еще только зарождается, но по мере того, как устройства становятся все более объединенными в сеть, проблемы с безопасностью начинают вызывать головную боль у предприятий. В отличие от потребителей, «взлом» компаний в гораздо большей степени немедленно приводит к ущербу репутации, потере дохода или даже претензиям о компенсации.

По словам Джека Уорнера, эксперта по кибербезопасности в TechWarn , самый большой риск для онлайн-безопасности компании исходит от сотрудников. . Плохо обученный персонал или отсутствие четких ИТ-политик поощряют безрассудное поведение и неосторожное обращение с конфиденциальными данными. Сотрудники могут не знать о функциях и рисках устройства или иметь небезопасное мышление, чтобы замечать потенциально опасные утечки.

Для корпораций более чем когда-либо важно, чтобы все офисное оборудование проверялось командой инженеров, заботящихся о безопасности. Должны существовать четкие политики в отношении того, какие данные разрешено собирать устройствами, и правила, которым эти данные должны соответствовать. Эта политика должна в равной мере применяться к данным, собираемым устройствами, принадлежащими и развернутыми компанией, а также принадлежащими сотрудникам.

Пример использования:данные фитнес-приложения

В ноябре 2017 года фитнес-приложение Strava опубликованные данные, собранные его пользователями. Несмотря на то, что данные уже были анонимными, они по-прежнему привлекли большое внимание, поскольку аналитики обнаружили, что данные раскрывают местоположение секретных военных баз, поскольку солдаты носят свои фитнес-устройства IoT во время пробежек по базе, патрулирования или тренировок. P>

Маршруты тренировок определяли размер и расположение баз, давали оценку того, сколько солдат там дислоцировано, и даже какова может быть приблизительная частота патрулирования. Утечка данных Strava представляет собой серьезную угрозу безопасности для операций вооруженных сил США и полностью вызвана ими самими.

Подобная информация может легко навредить и коммерческой организации. Места тестирования, разведки или процедуры доставки вполне могут быть хорошо охраняемой интеллектуальной собственностью организации.

Существует множество других устройств Интернета вещей, которые сотрудники могут случайно использовать для раскрытия конфиденциальных данных. Служебные телефоны могут записывать их местоположение, а также использоваться для фотографирования. Сотрудники могут непреднамеренно поделиться своим местоположением через социальные сети или использовать приложение интеллектуального сканера на своем телефоне для преобразования конфиденциальных данных в PDF. Пароли могут быть вставлены в папку черновиков личных учетных записей электронной почты, или информация о клиенте может попасть в личный список контактов сотрудника, откуда она будет загружена в различные приложения.

Сетевые устройства в офисах

Когда информационная безопасность не принимается во внимание с самого начала, типичный офис может быть уже заполнен устройствами, которые не соблюдают конфиденциальность и создают утечки безопасности. Например, принтер может хранить распечатанные документы в течение длительного времени (или даже загружать их в Интернет), а очистители воздуха могут предоставлять собранные данные на центральный сервер.

Даже такие системы, как термостаты, лампы или дверные замки, часто имеют сетевые возможности и могут делиться своими данными с рекламодателями или, по крайней мере, с центральной облачной службой. Как минимум, это открывает возможности для злоумышленников или конкурентов получить доступ к секретам компании.

Сети компании и интранет

Несмотря на то, что мы стали более чувствительными к общедоступной информации, внутренние базы данных и сети организаций все еще слишком часто рассматриваются как «безопасные». Часто именно здесь хакеры получают полную свободу действий и, оказавшись внутри сети, могут использовать свое привилегированное положение для подключения к базам данных, заражения компьютеров вирусами или саботажа критически важного оборудования.

Маршрутизаторы - одно из самых запущенных устройств в офисных сетях. В то время как устройства сотрудников получают регулярные автоматические обновления, а серверы вызывают серьезную озабоченность, маршрутизаторы редко проверяются и не получают обновления. Тем не менее, весь трафик компании будет проходить через них, и любой, кто контролирует маршрутизатор, может перехватывать, искажать, вводить или изменять любые данные, отправляемые в Интернет и другие внутренние устройства.

Найти хороший VPN-маршрутизатор несложно, но разница в цене между моделями может быть огромной, а их выгода не очевидна для покупателя и оператора.

Использование сторонних хостинг-провайдеров

Самой большой угрозой для конфиденциальности организации стало широкое использование размещенных сервисов, включая электронную почту, чат и управление файлами.

Если несколько лет назад управление собственными почтовыми серверами и хранение документов на внутренних серверах было относительно обычным делом, по крайней мере, для крупных организаций, то сегодня это почти исключительно сторонние облачные провайдеры. Электронная почта, чаты, документы, программный код - в офисах многих компаний почти ничего не осталось.

Вечная борьба

Развитие интернет-сервисов и устройств Интернета вещей во многом противоречит потребностям корпораций в области конфиденциальности и безопасности. Пока что не наблюдается большого сопротивления или спроса на более ориентированные на безопасность услуги.

Наиболее рациональная стратегия для корпораций может заключаться в ограничении объема информации, которую они собирают от своих клиентов, и размещении этой информации вместе со своей интеллектуальной собственностью в самообслуживаемой внутренней физической инфраструктуре.

Автор этого блога - Джек Уорнер, эксперт по кибербезопасности в TechWarn

Об авторе

Джек - опытный эксперт по кибербезопасности с многолетним опытом работы в TechWarn, надежном цифровом агентстве для компаний мирового уровня, занимающихся кибербезопасностью. Сам страстный защитник цифровой безопасности, Джек часто вносит свой вклад в технические блоги и цифровые медиа, обмениваясь экспертными знаниями по таким темам, как изобличение и инструменты кибербезопасности.