Gwendidau IoT defnyddwyr: Pan fo rhyng-gysylltedd yn golygu risgiau a rennir

• Awdur:
• enw awdur

  Rhagolwg Quantumrun
• Gorffennaf 5, 2023

Uchafbwyntiau mewnwelediad

Tra bod y diwydiant Rhyngrwyd Pethau (IoT) yn parhau i arloesi, mae'n mynd i'r afael â materion seiberddiogelwch nodedig oherwydd bod defnyddwyr yn esgeuluso diweddaru cyfrineiriau dyfeisiau rhagosodedig a gweithgynhyrchwyr yn cyflwyno nodweddion heb eu profi. Mae'r heriau hyn yn cael eu dwysáu gan y diffyg datgeliadau agored i niwed cyhoeddus a'r ffaith nad oes gan gwmnïau gynllun clir ar gyfer ymdrin â nhw. Er bod rhywfaint o ddefnydd o gytundebau peidio â datgelu, rhaglenni bounty bygiau, a Datgeliad Agored i Niwed Cydlynol (CVD) fel strategaethau rheoli risg, mae mabwysiadu polisïau datgelu bregusrwydd ledled y diwydiant yn parhau i fod yn isel. 

Cyd-destun gwendidau defnyddwyr IoT

Er bod manteision i ddyfeisiau fel cynorthwywyr cartref a chamerâu diogelwch craff, mae gan y diwydiant IoT ffordd bell i fynd o hyd o ran seiberddiogelwch. Er gwaethaf datblygiadau mewn dylunio a seilwaith, mae'r dyfeisiau hyn yn parhau i fod yn agored i ymosodiadau seiber. Mae'r broblem hon yn cael ei gwaethygu ymhellach gan y ffaith nad yw llawer o ddefnyddwyr yn gwybod yr arferion gorau ar gyfer uwchraddio systemau gweithredu eu dyfeisiau. Yn ôl y Cylchgrawn IoT, nid yw 15 y cant o holl berchnogion dyfeisiau IoT yn newid cyfrineiriau diofyn, sy'n golygu y gall hacwyr gyrchu 10 y cant o'r holl ddyfeisiau cysylltiedig gyda dim ond pum cyfuniad enw defnyddiwr a chyfrinair.

Mae heriau diogelwch eraill wedi'u gwreiddio yn y modd y caiff y dyfeisiau hyn eu gosod neu eu cynnal a'u cadw. Os bydd peiriant neu feddalwedd yn cael ei adael heb ei ddiogelu - er enghraifft, ni ellir ei glytio â diweddariadau diogelwch newydd neu ni all defnyddwyr terfynol newid y cyfrinair rhagosodedig - gallai fod yn hawdd amlygu rhwydwaith cartref defnyddiwr i ymosodiad seibr. Her arall yw pan fydd datblygwr yn cau, ac nad oes neb yn cymryd drosodd eu meddalwedd neu lwyfannau. 

Mae ymosodiadau Internet of Things yn amrywio, yn dibynnu ar y peiriant neu'r seilwaith. Er enghraifft, gall gwendidau meddalwedd neu gadarnwedd alluogi hacwyr i osgoi systemau diogelwch cerbydau trydan (EVs). Yn y cyfamser, mae rhai gweithgynhyrchwyr IoT yn aml yn ychwanegu nodweddion newydd at eu dyfeisiau neu ryngwynebau heb eu profi'n drylwyr. Er enghraifft, gall rhywbeth sy'n ymddangos yn syml, fel charger EV, gael ei hacio i dan-neu ordalu, gan arwain at iawndal corfforol.

Effaith aflonyddgar

Yn ôl arolwg yn 2020 a gynhaliwyd gan Sefydliad Diogelwch IoT, un o’r meysydd lle nad oedd gweithgynhyrchwyr IoT yn gwneud digon oedd darparu datgeliadau bregusrwydd cyhoeddus. Ffordd allweddol o wella diogelwch dyfeisiau sy'n gysylltiedig â'r IoT yw ei gwneud hi'n hawdd i ymchwilwyr riportio gwendidau y maent yn eu canfod yn uniongyrchol i weithgynhyrchwyr. Ar yr un pryd, mae angen i gwmnïau gyfathrebu sut y byddant yn ymateb unwaith y bydd y pryderon hyn wedi'u nodi a pha amserlen y gellir ei disgwyl ar gyfer clytiau meddalwedd neu atgyweiriadau eraill.

Er mwyn brwydro yn erbyn bygythiadau seiberddiogelwch sy'n dod i'r amlwg, mae rhai busnesau'n dibynnu ar gytundebau peidio â datgelu. Mae eraill yn denu ymchwilwyr gyda bounties bygiau (hy, talu am gwendidau a ddarganfuwyd). Mae yna hefyd wasanaethau arbenigol y gall cwmnïau eu cadw i reoli datgeliadau a rhaglenni bounty bygiau. Techneg arall ar gyfer rheoli risgiau yw Datgeliad Agored i Niwed Cydgysylltiedig (CVD), lle mae'r cynhyrchydd a'r ymchwilydd yn gweithio gyda'i gilydd i ddatrys problem ac yna'n rhyddhau'r adroddiad trwsio a bregusrwydd ar yr un pryd i leihau'r difrod posibl i ddefnyddwyr. 

Yn anffodus, nid oes gan rai cwmnïau unrhyw gynllun ar gyfer trin datgeliadau. Er bod nifer y cwmnïau â pholisïau datgelu bregusrwydd wedi codi i 13.3 y cant yn 2019 o 9.7 y cant yn 2018, mae mabwysiadu diwydiant wedi aros yn gyffredinol isel (2022). Yn ffodus, mae rheoliadau cynyddol yn gorfodi polisïau datgelu. Yn 2020, pasiodd llywodraeth yr UD Ddeddf Gwella Seiberddiogelwch Rhyngrwyd Pethau, gan ei gwneud yn ofynnol i ddarparwyr IoT gael polisïau datgelu bregus cyn gwerthu i asiantaethau ffederal. 

Goblygiadau gwendidau IoT defnyddwyr

Gall goblygiadau ehangach gwendidau IoT defnyddwyr gynnwys: 

• Llywodraethau sy'n rheoleiddio gweithgynhyrchwyr IoT i gael polisïau datgelu a phrofion trylwyr a thryloyw.
• Mwy o gwmnïau technoleg yn ffurfio cymdeithasau i gytuno i safonau cyffredin a datblygu protocolau seiberddiogelwch unedig a all wneud dyfeisiau'n rhyngweithredol ac yn gynyddol ddiogel.
• Ffonau clyfar a dyfeisiau defnyddwyr personol eraill sy'n gweithredu dilysu aml-ffactor uwch ac adnabod biometrig i wella seiberddiogelwch.
• Mwy o fuddsoddiadau mewn seiberddiogelwch cerbydau trydan ac ymreolaethol i atal herwgipio digidol.
• Ymosodiadau mwy clustfeinio, lle mae troseddwyr yn cymryd drosodd sianeli cyfathrebu heb eu hamgryptio; gall y duedd droseddu hon olygu bod yn well gan fwy o ddefnyddwyr apiau negeseuon wedi'u hamgryptio (EMAs).
• Mwy o ddigwyddiadau o ymosodiadau peirianneg gymdeithasol sy'n manteisio ar amddiffyniad cyfrinair gwan, yn enwedig ymhlith defnyddwyr dyfeisiau hŷn.

Cwestiynau i wneud sylwadau arnynt

• Sut ydych chi'n sicrhau bod eich dyfeisiau IoT yn cael eu diogelu'n dda?
• Pa ffyrdd eraill y gall defnyddwyr wella diogelwch eu dyfeisiau IoT?