636,4
Рейтинг
OTUS. Онлайн-образование
Цифровые навыки от ведущих экспертов
2 октября

Почему незащищенные потребительские системы интернета вещей теперь представляет собой серьезную бизнес-проблему

Блог компании OTUS. Онлайн-образованиеИнформационная безопасностьBig DataИнтернет вещей
Перевод
Автор оригинала: Mark Jones
Привет, хабровчане! Первый в России онлайн-курс IoT-разработчик стартует в OTUS уже в октябре. Прямо сейчас открыт набор на курс, в связи с чем мы традиционно делимся с вами переводом материала по теме.





С большой долей вероятности, в большинстве предприятий найдется хотя бы один сотрудник с уязвимым устройством. Для кибер-преступников достаточно и одного.



В потребительской сфере технология интернета вещей (Internet of Things — IoT) давно славится своей чрезвычайно халтурной секьюрностью.

Сегодня дома наводнены устройствами с подключением к интернету — будь то эспрессо-кофемашина с приложением или камера видеонаблюдения с подключением к Wi-Fi. По данным Statista, в 2020 году на бытовую электронику будет приходиться 63% всех установленных IoT устройств. Эти устройства могут собирать о своих пользователях данные, которые отправляются обратно поставщикам услуг, чтобы помочь улучшить их продукты. Производство этих устройств является прибыльным делом, и по мере роста спроса потребители все чаще покупают более дешевые устройства экономкласса. Проблема в том, что стандарты безопасности у них обычно довольно слабые.

До недавнего времени уязвимости и прорехи в безопасности потребительского интернета вещей не представляли особой проблемы в деловом мире — руководителям, подкованным в вопросах конфиденциальности, достаточно было просто потянуться, чтобы отключить офисную Alexa во время особо важной встречи. Но поскольку к осени только треть работников должна вернуться в офис, дом работника превратился в рабочее место; если он наводнен небезопасным IoT, это серьезная проблема кибербезопасности. 15% владельцев IoT-устройств по-прежнему используют пароли по умолчанию, поэтому высока вероятность, что у большинства предприятий найдется хотя бы один сотрудник с уязвимым устройством — кибер-преступникам больше и не нужно.

«Большинство устройств интернета вещей, приобретаемых для дома, относительно дешевы, отчасти из-за того, что производители не прилагают особых усилий для их защиты на аппаратном или программном уровне», — говорит Дэррил Джонс, директор по продакт менеджменту в сфере интернета вещей компании ForgeRock, как специалист по цифровой идентификации в беседе с TechHQ.

«От плохого управления учетными данными, устаревшего встроенного программного обеспечения и избыточных точек доступа, оставленных на потребительских устройствах до нечастых обновлений безопасности — такие устройства зачастую не претендуют на безопасность с самого начала».

В 2020 году руководители по информационной безопасности и их заместители были ошеломлены всплеском киберпреступности. Количество фишинговых электронных писем, использующих обстоятельства карантина, резко возросло, а внезапная миграция рабочей силы на удаленную работу привела к увеличению числа новых конечных точек, которые необходимо защищать. По мере того, как предприятия и сотрудники перемещались в онлайн, преступники следовали за ними целыми оравами.

В то же время только в 2019 году количество кибератак на устройства интернета вещей выросло на 300% и, вероятно, продолжит расти.

Самым печально известным примером уязвимости устройств интернета вещей стала волна DDoS-атак ботнета Mirai в 2016 году, которая в какой-то момент результировала в невозможности доступа к интернету на всем восточном побережье США. Правительство США первоначально подозревало, что это дело рук какой-нибудь страны-парии, но виновной оказалась сеть из 400 000 скомпрометированных потребительских устройств IoT, превращенных в оружие недовольным игроком в Minecraft.

Итак, почему бизнес-лидеры были застигнуты врасплох угрозой потребительского интернета вещей?

«Проще говоря, пандемия изменила ситуацию. Раньше они играли в шахматы, теперь им нужно играть в шашки», — говорит Джонс. «Уязвимость устройств существовала с самого начала, но огромное увеличение числа сотрудников, работающих из дома, и неуклонный рост цифры в связи с пандемией увеличили серьезность проблемы на порядок.

«Хотя директора по информационной безопасности в течение многих лет работали над безопасностью своих устройств и сетей, эти изменения ставят новые сложные задачи как для руководителей бизнеса, так и для директоров по информационной безопасности».

Джонс предполагает, что пересмотренные стратегии кибербезопасности, ориентированные на будущее распределенной работы, должны учитывать возрастающие угрозы не только в рамках концепции использования собственного устройства (BYOD — Bring Your Own Device), но и в других принадлежащих сотрудникам устройствах, которые могут получить доступ к сети.

«Компаниям следует исследовать новые домашние технологии, которые позволяют разделить корпоративную сеть, чтобы нарушение в той части сети, которая содержит потребительские устройства, не скомпрометировало ту часть, которая используется в корпоративных целях», — говорит Джонс.

Один из подходов заключается в том, чтобы компании требовали, чтобы для корпоративных устройств создавались только приватные сети Wi-Fi — это руководство, которое ФБР неоднократно продвигало в США. Правительство также должно изложить кодексы передовых практик или, что еще лучше, сразу законодательство, когда речь идет о безопасности устройств интернета вещей. В прошлом году Финляндия стала первой европейской страной, которая сертифицировала безопасные интеллектуальные устройства, где продукты, соответствующие требуемому стандарту, получают четко различимый «знак кибербезопасности».

«Уникальная цифровая идентификация должна стать новой базой безопасности, поскольку ее можно использовать для защиты устройств на рабочем месте, а также существующих или новых домашних устройств. Кроме того, внедрение модели безопасности Zero Trust или CARTA может помочь в этой новой норме, обеспечивая безопасность при каждом взаимодействии и понимая нормальное поведение устройства и пользователя для выявления подозрительных взаимодействий», — говорит Джонс.

«Компании также должны принять новые корпоративные политики безопасности и обучения сотрудников, которые требуют использования приватных сетей, и ограничить использование этих сетей только корпоративными устройствами».

«Раннее обнаружение вторжений также имеет решающее значение. Компаниям следует иметь решения для обнаружения аномалий, в том числе при подключении нового устройства к сети, а также другие решения для мониторинга — конечных точек, поведенческие, сетевые…»

Теги:Big DataCIO
Хабы: Блог компании OTUS. Онлайн-образование Информационная безопасность Big Data Интернет вещей
+1
1,9k 11
Комментарии 2
Похожие публикации
Лучшие публикации за сутки
Информация
Дата основания

1 мая 2017

Местоположение

Россия

Сайт

otus.ru

Численность

31–50 человек

Дата регистрации

22 марта 2017

Блог на Хабре