Безопасность Интернета вещей:как стимулировать цифровую трансформацию при минимальном риске

Всего за несколько лет Интернет вещей (IoT) радикально изменил наш образ жизни и работы. От устройств на запястьях и в наших домах до подключенных к сети зданий и умных фабрик, в которых мы проводим свою трудовую жизнь, они делают нас безопаснее, счастливее и продуктивнее, предлагая новые возможности роста для организаций. Технология находится в авангарде революции цифровой трансформации, которая уже пронизывает подавляющее большинство предприятий, помогая сделать их более эффективными, гибкими и ориентированными на клиента.

Однако цифровая экспансия также означает больший цифровой риск:по последним данным, количество атак Интернета вещей выросло на 100% в годовом исчислении. Поэтому ключом для ИТ-команд является поддержка роста бизнеса при минимизации этих киберрисков с помощью передовых методов обеспечения безопасности, адаптированных для новой эпохи подключений.

Переход на цифровые технологии

Интернет вещей прошел долгий путь за относительно короткий промежуток времени. Gartner прогнозирует, что в 2019 году будет использоваться 14,2 миллиарда подключенных устройств, а к 2021 году их общее число достигнет 25 миллиардов. С таким стремительным ростом количества устройств произошел взрыв данных. По оценкам Cisco, общий объем данных, создаваемых всеми устройствами, достигнет 600 зеттабайт в год к 2020 году по сравнению с 145 зеттабайтами в год в 2015 году. Это огромный объем данных - один зеттабайт эквивалентен 1 миллиарду терабайт.

Почему за последние несколько лет Интернет вещей стал так полно проникать в бизнес-среду? Опрос 700 руководителей Forbes Insights в 2018 году помогает это объяснить. Выяснилось, что 60% фирм расширяют или трансформируют новые направления бизнеса, такое же количество (63%) предоставляют клиентам новые / обновленные услуги, а более трети (36%) рассматривают возможность создания новых деловых предприятий. В ближайшие 12 месяцев почти все (94%) респонденты предсказывали, что прибыль вырастет на 5–15% благодаря Интернету вещей.

Датчики Интернета вещей, данные, собранные и отправленные в облако для анализа, открывают новые широкие возможности для улучшения качества обслуживания клиентов, оптимизации сложных бизнес-процессов и создания новых услуг благодаря полученным сведениям. Это может включать в себя мониторинг коммунальных предприятий на предмет ранних признаков утечки воды или отключения электроэнергии, производственные компании, повышающие эффективность работы в цехах, и производители оборудования, предоставляющие клиентам новые послепродажные услуги на основе профилактического обслуживания.

Риск повсюду

Проблема, с которой сталкивается любая фирма, наращивающая использование IoT и промышленных систем IoT (IIoT), заключается в том, что при этом она расширит поверхность корпоративных атак. Краткий обзор областей атаки IoT на OWASP документ показывает, сколько новых возможных слабых мест появилось. Они варьируются от самих устройств, включая прошивку, память и физические / веб-интерфейсы, до серверных API, подключенных облачных систем, сетевого трафика, механизмов обновления и мобильного приложения.

Один из самых больших рисков для таких систем заключается в том, что они производятся производителями, не имеющими должного представления о передовых методах ИТ-безопасности. Это может привести к серьезным системным слабостям и уязвимостям, которые могут быть использованы злоумышленниками, от недостатков программного обеспечения до продуктов, поставляемых с заводскими учетными записями по умолчанию. Это также может означать, что продукты сложно обновлять и / или нет программы даже для выпуска исправлений безопасности.

Такие недостатки могут использоваться в различных сценариях атак. Они могут быть использованы для взлома корпоративных сетей в рамках рейда по краже данных или саботажа ключевых операционных процессов - либо для вымогательства денег у организации-жертвы, либо просто для максимального сбоя. В более распространенном сценарии хакеры могут сканировать Интернет на предмет общедоступных устройств, которые все еще защищены только заводскими настройками по умолчанию или паролями, которые легко угадать / взломать, и задействовать их в бот-сетях. Это модель, которую использовали печально известные злоумышленники Mirai, а затем адаптировали во многих других атаках-подражателях. Эти ботнеты могут использоваться для множества задач, включая распределенный отказ в обслуживании (DDoS), мошенничество с рекламой и распространение банковских троянов.

В темноте

Сложность для групп ИТ-безопасности часто заключается в том, чтобы получить доступ ко всем конечным точкам IoT в организации, а некоторые обнаруженные устройства IoT часто могут работать без ведома ИТ-отдела. Этот теневой ИТ-фактор во многих отношениях является преемником проблемы корпоративного BYOD - за исключением мобильных телефонов, пользователи приносят с собой интеллектуальные носимые устройства и другие устройства, которые затем подключаются к корпоративной сети, что увеличивает киберриск. Просто представьте, что злоумышленники захватили смарт-телевизор, например, чтобы шпионить за заседаниями совета директоров, или умный чайник в кафетерии для персонала, который используется в качестве плацдарма для организации рейда по краже данных в корпоративной сети.

Еще хуже для руководителей ИТ-безопасности то, что им приходится справляться с растущими киберрисками, обращаясь к меньшему количеству квалифицированных специалистов. Фактически, по данным одной кадровой группы, спрос на роли IoT в четвертом квартале 2018 года вырос на 49% по сравнению с предыдущими тремя месяцами.

Регулирующие органы наверстают упущенное

Воздействие любой серьезной киберугрозы, связанной с IoT, может быть серьезным. Потеря данных, сбои в работе ИТ-систем, сбои в работе и т. Д. Могут привести к финансовому и репутационному ущербу. Стоимость расследования и устранения одной только бреши в системе безопасности может быть непомерно высокой. Серьезный сбой может потребовать значительных вложений средств в сверхурочную работу ИТ-персонала. Еще одна важная статья расходов, которую необходимо учитывать, - это штрафы регулирующего органа. Не только GDPR должен учитывать любые проблемы, влияющие на личные данные клиентов или сотрудников, Директива ЕС о NIS также требует от компаний, работающих в конкретных критических отраслях, безопасности передовой практики. Оба несут одинаковые максимальные штрафы.

Этот нормативный надзор распространяется по обе стороны Атлантики. Новый закон, предлагаемый в США, потребует от Национального института стандартов и технологий (NIST) разработки минимальных руководящих принципов безопасности для производителей Интернета вещей и требования, чтобы федеральные агентства покупали только у поставщиков, которые соответствуют этим базовым стандартам.

Видимость и контроль

В случае принятия это законодательство США могло бы основываться на европейском стандарте ETSI TS 103 645, который сам был основан на предложенном правительством Великобритании своде правил для отрасли. Это, безусловно, отличное начало, которое, будем надеяться, подтолкнет отрасль к большей осведомленности о безопасности, а также даст потребителям и предприятиям возможность искать на рынке более безопасные продукты. Но на самом деле, чтобы такие шаги проникли на рынок, потребуется время, и даже в этом случае организации могут уже использовать тысячи небезопасных устаревших конечных точек Интернета вещей.

Команды ИТ-безопасности должны действовать сейчас, получая более полное представление о своей среде Интернета вещей. Инструменты управления ИТ-активами должны быть в состоянии помочь в этом, обеспечивая самый важный первый шаг:видимость. Затем убедитесь, что микропрограмма устройства обновлена ​​с помощью автоматизированных инструментов управления исправлениями и что этот процесс отслеживается, чтобы убедиться, что он работает правильно - некоторые обновления безопасности скрыты глубоко внутри веб-сайта поставщика и требуют вмешательства человека, чтобы убедиться, что они были включены . Кроме того, ИТ-группы должны проверить, что любые имена пользователей и пароли немедленно меняются на надежные и уникальные учетные данные. Еще лучше заменить их на многофакторную аутентификацию. Другие передовые методы могут включать шифрование передаваемых данных, непрерывный мониторинг сети, управление идентификацией, сегментацию сети и многое другое. Наконец, не забывайте о человеческом аспекте кибербезопасности:сотрудников следует научить понимать риски безопасности, связанные с Интернетом вещей, и способы безопасного использования систем и устройств.

Это способ получить максимальную отдачу от любых инициатив IoT, не подвергая предприятие ненужным дополнительным рискам. Достаточно одного серьезного нарушения безопасности, чтобы подорвать рост, основанный на инновациях, столь важный для успеха современного цифрового бизнеса.