Остерегайтесь компаний:устройства Интернета вещей - это путь к кибератакам

Интернет вещей предлагает предприятиям беспрецедентный уровень видимости и контроля над своими цепочками поставок. Но это также открывает двери для потенциально опасных кибератак.

Новое исследование Ponemon Institute показывает резкое увеличение количества утечек данных, вызванных незащищенными сторонними устройствами Интернета вещей. И это говорит о том, что ведущие эксперты по безопасности делают недостаточно, чтобы их остановить.

Третье ежегодное исследование риска стороннего Интернета вещей называется «Компании не знают того, чего они не знают». Действительно, незнание опасностей кибератак, похоже, повысило уязвимость многих предприятий. Согласно исследованию, количество нарушений, связанных с Интернетом вещей, с 2017 года увеличилось как минимум на 26 процентов. (Число может быть даже больше, отмечают авторы, поскольку большинству компаний неизвестно обо всех небезопасных устройствах или приложениях в их помещениях, которые исходят от сторонних поставщиков.)

В то время, когда утечки данных становятся повсеместным явлением, кибербезопасность, по-видимому, не является особо важным приоритетом для многих компаний - по крайней мере, когда речь идет об инвестировании ресурсов в этой области. Особенно отсутствует надзор со стороны высшего руководства. Согласно исследованию, менее половины членов совета директоров компаний одобрили программы, направленные на снижение риска кибератак со стороны третьих лиц. Только 21 процент полностью осознают природу этого риска и «активно принимают» меры безопасности, необходимые для его устранения.

Когда дело доходит до предвидения киберрисков, преобладает фатализм. Исследование показало, что 87 процентов респондентов полагают, что их собственные организации испытают кибератаку, вызванную незащищенными устройствами или приложениями Интернета вещей, в течение следующих 24 месяцев. И 84% ожидают утечки данных в те же сроки.

По словам Ларри Понемона, соучредителя Ponemon Institute, в последней версии исследования приняли участие 600 квалифицированных респондентов и около 450 уникальных компаний. В том, что он назвал «эклектичной, но интересной выборкой», участвовали эксперты в области информационных технологий, защиты данных, сторонних технологий и регулирования.

«Третья сторона» означает весь спектр поставщиков, подрядчиков, торговых партнеров и внутренних аффилированных лиц, не являющихся собственными ИТ-компаниями компании. окружающей среды, отмечает Чарли Миллер, старший советник Программы совместных оценок, подразделения Santa Fe Group, специализирующегося на оценке рисков третьих лиц.

Внешние устройства Интернета вещей обычно представляют собой датчики, интеллектуальные устройства, принтеры, камеры, термостаты для гнезд, голосовых персональных цифровых помощников - короче говоря, все, что содержит электронику, которая может подключаться к сети компании.

По словам Понемона, презирая этот арсенал небезопасных технологий, большая часть которых вводится в сеть через личные устройства сотрудников, руководство не считает это огромным риском. Миллер добавляет, что проблема усугубляется огромным увеличением количества устройств Интернета вещей, появившихся на рынке в последние годы.

Каждое из этих устройств имеет уникальный IP-адрес и представляет собой потенциальную уязвимость, через которую хакеры или кибер-похитители могут получить доступ к конфиденциальным данным. Прежде чем разрешить ввод какого-либо из них в сеть, компании должны точно понимать, для чего предназначены устройства, какие данные они предназначены для сбора и как эта информация будет передаваться.

«Все эти вещи являются фундаментальными концепциями, которые еще не выкристаллизовались в этом огромном пространстве Интернета вещей», - говорит Миллер.

Перед лицом этого нападения, почему компании не предпринимают более активных действий по их предотвращению? Понемон предполагает, что проблема заключается в отсутствии подотчетности внутри организаций. Более того, устройства Интернета вещей соблазнительно удобны в использовании, и владельцы мало задумываются о том, как они могут поставить под угрозу корпоративную безопасность.

Миллер видит некоторые признаки просвещения среди служб безопасности и организаций. Некоторые отрасли, такие как производители медицинского оборудования, уделяют этому вопросу больше внимания, чем другие, в основном потому, что они подлежат жесткому регулированию. (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов, например, установило «строгие правила в отношении устройств, которые должны имплантироваться людям», - говорит Миллер.) Новое законодательство, такое как Закон Калифорнии о конфиденциальности потребителей, ограничивает использование мерчендайзерами данных о потребителях в маркетинговых целях. Кроме того, законодатели нацеливают производителей на меры, которые потребуют более высоких уровней встроенной безопасности для устройств на основе Интернета вещей. (Запрещение, например, использования простых для взлома паролей по умолчанию, которые многие пользователи пренебрегают изменением.)

Другие усилия по усилению кибербезопасности предпринимаются такими организациями, как Национальный институт стандартов и технологий, стандарты которого приняты во всем мире, и Валютное управление Сингапура, центральный банк этой страны. Четыре из пяти рекомендаций последнего по повышению безопасности включены в исследование Ponemon.

«Вам необходимо понимать, какие устройства есть у вас в вашей организации и разрешено использовать третьим лицам», - говорит Миллер. «И вам необходимо убедиться, что способ подключения устройств отделен от вашего производственного отдела. Так что в случае взлома существует изоляция непроизводственного сегмента вашей сети ».

По словам Понемона, образование имеет первостепенное значение, подчеркивая, что осведомленность о киберрисках должна исходить от каждого отдельного сотрудника до высшего руководства, а также от внешних партнеров по цепочке поставок и клиентов.

Миллер говорит, что компании должны изучить варианты использования, прежде чем переходить к использованию каких-либо устройств IoT, чтобы определить вероятность неправильного использования. Например, системы мониторинга современных автомобилей могут позволить хакерам удаленно управлять автомобилем. «Транспортная отрасль очень серьезно относится к этому, - говорит он.

В конце концов, все сводится к бдительности со стороны пользователя. «Кибергигиена - это ответственность каждого человека», - говорит Понемон. «Это очень важно. Дело не только в Интернете вещей - дело во всем ».