Безопасность с помощью смарт-устройств и Интернета вещей

В этой статье мы будем использовать термин «Интернет вещей» или «Интернет вещей» в качестве универсального термина для описания взаимосвязанных интеллектуальных устройств, межмашинного взаимодействия (M2M) и связанного программного обеспечения. / аппаратные технологии.

Анализ данных и потенциал автоматизации, обеспечиваемый технологиями Интернета вещей (IoT), создали большие возможности для улучшения процессов и других революций в работе предприятий. Популярность этих устройств стремительно растет - по оценкам, к 2025 году мировой рынок Интернета вещей достигнет 22 миллиардов активно подключаемых устройств для различных отраслей Интернета вещей.

Как и любая новая технология, Интернет вещей не лишен недостатков в области кибербезопасности. Любой бизнес, стремящийся внедрить устройства Интернета вещей, должен делать это, уделяя кибербезопасности в качестве основной заботы, если они хотят сохранить свои устройства, системы и данные в безопасности.

Как Интернет вещей может помочь бизнесу?

Технологии под эгидой Интернета вещей могут творить чудеса для предприятий в самых разных секторах, хотя их использование в промышленных компаниях продемонстрировало значительное влияние.

Устройства Интернета вещей вместе с другими быстро развивающимися технологиями, такими как 3D-печать, искусственный интеллект, квантовые вычисления и достижения в области хранения энергии, вызвали беспрецедентную революцию в возможностях промышленных компаний, что привело к тому, что стало известно как Четвертый Промышленная революция.

Устройства Интернета вещей позволяют промышленным компаниям:

• Удаленное управление и мониторинг своих цепочек поставок.
• Объедините датчики Интернета вещей с существующей технологией, чтобы помочь в прогнозировании и проведении профилактического обслуживания путем отслеживания признаков износа и принятия необходимого решения.
• Управляют своими процессами более энергоэффективным способом за счет данных об энергии в реальном времени.

Для предприятий в других секторах устройства IoT могут привести к значительным изменениям в форме улучшенного анализа данных. Эти улучшения могут предоставить компаниям преимущества, которые включают в себя больший контроль запасов / запасов, повышение эффективности планирования и сокращение отходов, среди других улучшений.

Опасности Интернета вещей

Хотя есть явное преимущество, которое можно получить за счет сбора данных и автоматизации, которые поставляются с устройствами IoT, они не лишены рисков. Многие пользователи Интернета вещей и смарт-устройств не осознают, насколько доступными могут быть их устройства. Поисковая система Shodan просматривает Интернет в поисках устройств с неэффективной парольной защитой и отображает скриншоты того, к чему у нее был доступ - наиболее яркими примерами являются потоки с камер видеонаблюдения IoT, используемых как в деловых помещениях, так и в частных домах.

Этот список далеко не исчерпывающий, однако он служит напоминанием о том, что небезопасные устройства Интернета вещей могут быть использованы и должны применяться с должной осторожностью.

Отсутствие встроенных средств безопасности для Интернета вещей и интеллектуальных устройств

Компании, желающие использовать возможности Интернета вещей, должны убедиться, что производители устройств Интернета вещей, которые они используют, серьезно относятся к кибербезопасности.

Стремясь продвигать свои устройства на массовом рынке и сохранять низкие затраты, многие производители смарт-устройств отказались от инвестиций в кибербезопасность и вместо этого сделали упор на рентабельность своих устройств, чтобы привлечь покупателей для этого развивающегося рынка.

В то время как правительства, такие как Великобритания и США, начинают серьезно относиться к законодательству о кибербезопасности IoT, по большей части внешнего давления на производителей смарт-устройств, чтобы они сделали кибербезопасность приоритетом в процессе разработки своих устройств, было недостаточно.

Многие интеллектуальные устройства не имеют встроенных функций двухфакторной аутентификации (2FA) и не шифруют данные, которые собирают и передают. Пока производители смарт-устройств не возьмут на себя ответственность за обеспечение безопасности в качестве приоритета с первого дня разработки, смарт-устройства будут оставаться жизнеспособным вектором угроз кибербезопасности.

Примеры нарушений безопасности Интернета вещей

Исторически IoT-устройства использовались как точка входа для атак вредоносных программ. В качестве дополнительного контекста приведу несколько ярких примеров.

Распределенные атаки типа "отказ в обслуживании" (DDoS)

В 2016 году ботнет, известный как «Mirai», выполнил распределенную атаку типа «отказ в обслуживании» (DDoS), используя пароли по умолчанию для различных устройств IoT. Атака DDoS привела к потере подключения к Интернету для большого сегмента восточного побережья США.

Относительная легкость, с которой была осуществлена ​​эта атака, дает представление о том, как технологии Интернета вещей могут быть использованы в гнусных целях, и это была далеко не единственная атака ботнета, осуществляемая с помощью скомпрометированных устройств Интернета вещей.

Попытка Stuxnet уничтожить ядерное оборудование

Хотя создатели Stuxnet не подтвердили этого, обширное исследование этого весьма уклончивого компьютерного червя подтвердило его цель - нацеливаться на центрифуги, используемые на атомных станциях, и перепрограммировать их для выполнения циклов, наносящих ущерб их физическим компонентам. Stuxnet предостерегает от того, что уязвимости подключенного оборудования могут вызвать проблемы не только потери данных и отключенного программного обеспечения - они могут нанести серьезный физический ущерб устройствам или даже поставить под угрозу жизни.

Как термостат приводит к утечке данных

В неназванном казино в Лас-Вегасе была украдена база данных о клиентах самым неожиданным образом - через термостат аквариума. Казино использовало термостат IoT с подключением к Wi-Fi, чтобы контролировать и регулировать температуру в аквариуме. Поскольку термометр находился в той же сети, что и данные их клиентов, киберпреступники могли использовать уязвимости термометров, чтобы использовать их в качестве точки входа.

Переход от облачных вычислений к туманным

Вопреки распространенному мнению, Интернет вещей может функционировать без внешнего поставщика облачных вычислений, однако необходимо тщательно рассмотреть преимущества облачных вычислений, прежде чем принимать решение о переходе на безоблачное решение.

Компании, которые хотят иметь полный контроль над своими данными, могут использовать свою собственную локально управляемую инфраструктуру «туманных вычислений», чтобы позволить им обрабатывать и передавать свои данные IoT, не делясь ими с внешним поставщиком облачных вычислений.

Туманные вычисления - это децентрализованная вычислительная инфраструктура, которая передает данные от устройств IoT на шлюз в локальной сети (LAN), который обрабатывает передачу данных на соответствующее оборудование обработки - использование локального оборудования для этой обработки данных часто называется « граничные вычисления ». Хотя туманные вычисления и периферийные вычисления предлагают ряд преимуществ, включая меньшую задержку и больший контроль над обменом и передачей данных, они не лишены своих уязвимостей.

Компании, которые используют туманные вычисления и периферийные вычисления для хранения и передачи своих данных, являются единственными поставщиками физических, процедурных и технических мер кибербезопасности, необходимых для защиты данных, которые они собирают, что является непростой задачей.

Ведущие поставщики облачных вычислений вкладывают значительные средства во внедрение и поддержание ведущих мер кибербезопасности для защиты данных, которые они хранят, передают и обрабатывают, поскольку вся их бизнес-модель зависит от их надежности и безопасности. Компании, которые просто хотят использовать устройства IoT в качестве обновления своих обычных операций, могут не иметь разумных возможностей поддерживать такой же уровень безопасности, как поставщики облачных вычислений, что приведет к повышенным рискам кибербезопасности, если их использование туманных вычислений не будет выполняться с такой же надежной кибербезопасностью. меры.

Как безопасно использовать устройства Интернета вещей

IoT-устройства, хотя и сопряжены с определенными рисками, предоставляют беспрецедентную возможность для усовершенствований в области сбора и передачи данных, которые могут привести к невероятному увеличению возможностей и эффективности. Для безопасного использования устройств IoT можно применить ключевые меры безопасности.

Шифрование конфиденциальных данных

Хотя процесс шифрования данных перед их отправкой на обработку поставщику облачных вычислений может вызвать задержки в передаче данных, это важный шаг для конфиденциальных данных. Компании, которые передают конфиденциальные данные (например, медицинские данные) с устройства IoT в облако, должны серьезно относиться к конфиденциальности этих данных, однако более безобидные данные могут остаться незашифрованными.

Используйте уникальные пароли

Как видно из DDoS-атаки ботнета Mirai, одним из методов, которые используются для эксплуатации устройств IoT, является использование программного обеспечения, которое пытается получить доступ с помощью известных заводских паролей по умолчанию, используемых производителем устройства IoT.

Помимо изменения заводских паролей по умолчанию на уникальный пароль, используемые устройства IoT должны быть изготовлены таким образом, чтобы устройства не могли быть сброшены до заводского пароля по умолчанию, поскольку возможность сбросить пароль по умолчанию может предоставить киберпреступникам добавлен вектор для атак.

Используйте отдельную сеть для устройств Интернета вещей

Для предприятий, которые контролируют конфиденциальные данные, эти данные должны храниться в сети, отдельной от ваших устройств IoT. Из-за относительной незрелости безопасности устройств Интернета вещей их хранение в отдельной сети снижает вероятность того, что они могут использоваться в качестве точки входа в основную сеть.

Тщательно выбирайте поставщиков облака и устройств для Интернета вещей

Компании, которые предпочитают использовать преимущества облачных вычислений для своих устройств IoT, должны тщательно выбирать поставщика облачной платформы IoT, которому они могут доверять для защиты данных, которые они хранят и обрабатывают в своих системах. Им также придется выбирать продукты Интернета вещей, которые производятся с учетом требований кибербезопасности.

Выбирая поставщиков устройств IoT для ваших нужд, учитывайте следующее:

• Предоставляет ли производитель устройства общедоступный контактный центр для отчетов об уязвимостях кибербезопасности? Относятся ли они к этим отчетам серьезно?
• Как долго производитель устройства будет предоставлять обновления безопасности для своих продуктов?
• Приоритет ли производитель устройства кибербезопасности в рамках своих производственных требований?

Соображения относительно кибербезопасности поставщика облачных услуг Интернета вещей (CSP):

• Имеет ли CSP опыт серьезного отношения к кибербезопасности?
• Какие меры кибербезопасности принял CSP для защиты данных?
• Может ли CSP предлагать шифрование и другие меры безопасности в масштабе по мере роста инфраструктуры Интернета вещей?

Приведенный выше список далеко не исчерпывающий, и каждый бизнес-вариант использования будет иметь уникальные соображения кибербезопасности. Поскольку технологии Интернета вещей продолжают способствовать быстрому росту, предприятиям, желающим воспользоваться преимуществами развивающейся информации и предоставляемых ими функций, необходимо будет в первую очередь сделать кибербезопасность приоритетом, а также продолжить исследования и внедрять наилучшие возможные решения для своих нужд.