Акт улучшения кибербезопасности IoT:что это значит и как к этому подготовиться?

Целью Закона о совершенствовании кибербезопасности IoT от 2017 года является «обеспечение минимальных операционных стандартов кибербезопасности для подключенных к Интернету устройств, приобретаемых федеральными агентствами, а также для других целей».

Согласно предлагаемому законодательству, поставщики должны будут выполнить ряд требований, прежде чем они смогут заключить договор с государственными учреждениями, в том числе:

• На устройствах не должно быть известных уязвимостей и дефектов.
• Устройства должны иметь возможность получать регулярные обновления программного обеспечения.
• Устройства не должны содержать никаких фиксированных или жестко заданных учетных данных, используемых для удаленного администрирования, доставки обновлений или связи.

Однако, учитывая безопасность и экономические последствия частных сетей IoT, вполне вероятно, что подобные правила могут быть расширены за пределы государственных контрактов. Тед Коппел предупредил, что IoT-атака на энергосистему США может вызвать массовое отключение, и когда исследователи в Израиле смоделировали атаку на «умные лампочки» для управления освещением в городском квартале офисов, это показало, что это не просто паникер. .

Для компаний такие атаки могут представлять серьезную угрозу существованию - DNS-провайдер Dyn испытала DDoS-атаку, которая могла стоить 8% ее бизнеса. Поэтому, хотя мы, безусловно, можем ожидать большего регулирования и отраслевых стандартов, организациям следует предпринимать собственные упреждающие меры для защиты своих систем.

Действия, которые должна предпринять каждая компания

Должно быть ясно, что стандартных подходов к защите сети - исправлений, брандмауэров, обнаружения шпионского ПО, обучения сотрудников и т. Д. - недостаточно для предотвращения угроз Интернета вещей. Сочетание программной инфраструктуры и удаленно развернутых устройств добавляет новые измерения безопасности, требующие нового взгляда на нее.

Тем не менее, есть несколько шагов, которые компании должны предпринять, чтобы не только предотвратить атаки, но и соблюдать действующее законодательство:

• Зашифруйте ключи на каждом отдельном устройстве для большего контроля над сетью, так как каждое отдельное устройство можно отслеживать и управлять им (в отличие от шлюза, который контролирует определенную область / регион).
• Используйте только производные ключей шифрования для определенных функций.
• Регулярно меняйте ключи, чтобы даже в случае взлома устройства оно могло использоваться хакером в течение короткого периода времени.
• Централизованная видимость и контроль над системой, чтобы вы могли помещать в карантин и отключать подозрительные устройства напрямую.
• Используйте аппаратную безопасность или защиту, которая обеспечивается физическим устройством, а не программным обеспечением, установленным в компьютерной системе, - тактика, которую аналитик Патрик Мурхед утверждает, более безопасна, чем программное обеспечение, поскольку ее нельзя изменить и может предотвратить проникновение вредоносных программ в операционную систему и на уровень виртуализации.

По данным IDC , Ожидается, что к 2021 году инвестиции в Интернет вещей составят 1,4 триллиона долларов (1,17 триллиона евро). Системы Интернета вещей уже задействовали около двадцати пяти миллиардов устройств, и, по данным Hewlett Packard исследования, от 70 до 80% могут не иметь шифрования и достаточной защиты паролем.

Это главные цели для одних из самых ужасных кибератак, которые только можно представить, и компаниям необходимо немедленно принять меры, чтобы обеспечить их защиту. Однако при правильном подходе компании могут создавать сети IoT с высокой степенью защиты, гарантируя реализацию огромного экономического потенциала, предлагаемого IoT.

Автор этого блога - Амир Халим, генеральный директор Helium