Три вещи, которые каждый производитель Интернета вещей должен сделать для повышения безопасности

Нет никаких сомнений в том, что Интернет вещей - это новое поле битвы в области безопасности. Подключенные к Интернету веб-камеры, системы отопления, вентиляции и кондиционирования воздуха, автомобили, телевизоры, часы, принтеры и многое другое позволяют людям больше использовать свои устройства. Но эти устройства также открывают двери для хакеров, которые хотят украсть корпоративные данные, заарканить тысячи устройств в бот-сети, которые могут запускать DDoS-атаки, или даже запустить 156 аварийных уличных сирен в Далласе.

См. также: Обеспечат ли эти китайские спутники защиту данных от взлома?

Когда дело доходит до безопасности, корпорации изо всех сил стараются не отставать от скорости, с которой возникают проблемы. Например, исследователь из Google Project Zero недавно обнаружил недостаток в чипах Broadcom Wi-Fi, который может позволить кому-либо удаленно выполнять код на затронутых iPhone, Nexus и устройствах Samsung, просто находясь в непосредственной близости от них. Другой исследователь обнаружил 40 уязвимостей нулевого дня в операционной системе Samsung Tizen для смарт-часов, телефонов и телевизоров - он сказал, что код, возможно, был худшим из тех, что он когда-либо видел.

Между тем, недавно было обнаружено, что новая версия ботнета Mirai способна запускать атаки на уровне приложений, а не только DDoS-атаки на веб-сайты, и превращать большие участки Интернета в темноту.

Для борьбы с этими проблемами компании постоянно изобретают новые решения. Например, новый проект Microsoft, получивший название Sopris, направлен на решение некоторых проблем безопасности с IoT путем модернизации микроконтроллеров Wi-Fi. И хотя подобные усилия помогают, в рамках корпораций необходимо делать больше для решения проблемы безопасности Интернета вещей масштабируемым образом.

Как? Вот три вещи, которые компании, производящие устройства Интернета вещей, должны сделать, чтобы повысить безопасность своих продуктов:

№1:Будьте подотчетны

Многие компании, разрабатывающие продукты IoT, не являются технологическими компаниями, поэтому они не обязательно разрабатывают продукты с учетом требований безопасности или знают передовые методы обеспечения безопасности. Поставщики, выходящие на рынок Интернета вещей, должны понимать, что их устройства будут иметь уязвимости и что подключение их к Интернету увеличивает вероятность того, что устройства будут атакованы или использованы в атаках. Если компании продают товары, не осознавая этой реальности, они уже потерпели неудачу и подвергают риску не только своих клиентов, но и Интернет в целом.

№2:автоматическое обновление

Продукты, которые не имеют возможности автоматического обновления, - это сидящие утки.

Например, в тот момент, когда они покинули полки магазинов, устройства, уязвимые для ботнета Mirai, фактически подошли к концу своего жизненного цикла - не было возможности обновить устройства или исправить уязвимости, поэтому единственная возможность, которую имели владельцы уязвимых устройств, заключалась в том, чтобы купить новое устройство. Отзыв устройства обходится дорого, поэтому важно предоставить способ обновления устройства, чтобы избежать мгновенного устаревания, которое отталкивает клиентов.

Даже Windows XP, жизненный цикл которой составлял 10 лет, отправляла клиентам исправления безопасности для установки вручную. Microsoft запланировала поддержку и обслуживание клиентов, например, наняла больше инженеров по безопасности, в долгосрочной перспективе и учла это в авансовых расходах или подписке.

Точно так же Nest взимает 10 долларов в месяц за услуги по содержанию, что позволяет ему сделать одно из самых безопасных устройств Интернета вещей на рынке.

№3:Примите открытость

Производители устройств Интернета вещей также должны упростить этическим хакерам возможность сообщать им об уязвимостях. Компании должны иметь процесс раскрытия уязвимостей с помощью удобного для поиска адреса электронной почты или веб-формы, на которую можно отправлять отчеты об ошибках. Если они хотят поощрять более тщательную проверку безопасности, чтобы помочь им находить и исправлять ошибки, компании также могут настроить программу вознаграждения за ошибки, которая вознаграждает хакеров за сообщение об уязвимостях.

Ни один продукт не застрахован от ошибок, и, учитывая, насколько широко распространены устройства IoT и насколько они уязвимы для взлома, компаниям, производящим устройства IoT, важно принять все меры предосторожности, необходимые для обеспечения максимальной защиты конфиденциальности людей.