Forbrugers IoT-sårbarheder: Når sammenkobling betyder delte risici

• Forfatter:
• Forfatter navn

  Quantumrun Foresight
• Juli 5, 2023

Indsigt højdepunkter

Mens Internet of Things (IoT)-industrien fortsætter med at innovere, kæmper den med bemærkelsesværdige cybersikkerhedsproblemer på grund af forbrugere, der forsømmer at opdatere standardenhedsadgangskoder, og producenter introducerer utestede funktioner. Disse udfordringer forværres af manglen på offentlige afsløringer af sårbarhed og virksomheder, der ikke har en klar plan for at håndtere dem. Selvom der er en vis brug af tavshedspligtaftaler, bug bounty-programmer og Coordinated Vulnerability Disclosure (CVD) som risikostyringsstrategier, er den branchedækkende anvendelse af politikker for afsløring af sårbarhed stadig lav. 

Forbruger IoT sårbarheder kontekst

Selvom der er fordele ved enheder som hjemmeassistenter og smarte sikkerhedskameraer, har IoT-industrien stadig en lang vej at gå med hensyn til cybersikkerhed. På trods af fremskridt inden for design og infrastruktur er disse enheder fortsat sårbare over for cyberangreb. Dette problem forværres yderligere af det faktum, at mange forbrugere ikke kender den bedste praksis til at opgradere deres enheders operativsystemer. Ifølge IoT Magazine ændrer 15 procent af alle IoT-enhedsejere ikke standardadgangskoder, hvilket betyder, at hackere kan få adgang til 10 procent af alle relaterede enheder med kun fem brugernavn og adgangskodekombinationer.

Andre sikkerhedsudfordringer er forankret i, hvordan disse enheder er sat op eller vedligeholdes. Hvis en maskine eller software efterlades usikret - for eksempel kan den ikke patches med nye sikkerhedsopdateringer, eller slutbrugere kan ikke ændre standardadgangskoden - kan det nemt udsætte en forbrugers hjemmenetværk for et cyberangreb. En anden udfordring er, når en udvikler lukker ned, og ingen overtager deres software eller platforme. 

Internet of Things-angreb varierer afhængigt af maskinen eller infrastrukturen. For eksempel kan soft- eller firmwaresårbarheder give hackere mulighed for at omgå elektriske køretøjers (EVS) sikkerhedssystemer. I mellemtiden tilføjer nogle IoT-producenter ofte nye funktioner til deres enheder eller grænseflader uden at teste dem grundigt. For eksempel kan noget tilsyneladende simpelt, som en EV-oplader, hackes til under- eller overopladning, hvilket fører til fysiske skader.

Forstyrrende påvirkning

Ifølge en 2020-undersøgelse udført af IoT Security Foundation, var et af de områder, hvor IoT-producenter ikke gjorde nok, at give offentlig sårbarhed. En vigtig måde at forbedre sikkerheden på enheder forbundet til IoT er at gøre det nemt for forskere at rapportere sårbarheder, de finder direkte til producenterne. Samtidig skal virksomhederne kommunikere, hvordan de vil reagere, når disse bekymringer er blevet identificeret, og hvilken tidsramme der kan forventes for softwarepatches eller andre rettelser.

For at bekæmpe nye cybersikkerhedstrusler er nogle virksomheder afhængige af hemmeligholdelsesaftaler. Andre lokker forskere med bug-bounties (dvs. at betale for opdagede sårbarheder). Der er også specialiserede tjenester, som firmaer kan beholde for at administrere afsløringer og bug-bounty-programmer. En anden teknik til at håndtere risici er Coordinated Vulnerability Disclosure (CVD), hvor producenten og forskeren arbejder sammen om at løse et problem og derefter frigiver både rettelsen og sårbarhedsrapporten samtidigt for at reducere mulig skade på brugerne. 

Desværre har nogle virksomheder ingen plan for håndtering af afsløringer. Mens antallet af virksomheder med politikker for afsløring af sårbarhed steg til 13.3 procent i 2019 fra 9.7 procent i 2018, har branchen generelt været lav (2022). Heldigvis er der stigende regler, der påbyder offentliggørelsespolitikker. I 2020 vedtog den amerikanske regering Internet of Things Cybersecurity Improvement Act, der kræver, at IoT-udbydere har sårbare offentliggørelsespolitikker, før de sælger til føderale agenturer. 

Implikationer af forbrugernes IoT-sårbarheder

Bredere implikationer af forbrugernes IoT-sårbarheder kan omfatte: 

• Regeringer, der regulerer IoT-producenter til at have oplysningspolitikker og strenge og gennemsigtige tests.
• Flere teknologivirksomheder danner foreninger for at acceptere fælles standarder og udvikle forenede cybersikkerhedsprotokoller, der kan gøre enheder interoperable og stadig mere sikre.
• Smartphones og andre personlige forbrugerenheder, der implementerer avanceret multi-faktor autentificering og biometrisk identifikation for at forbedre cybersikkerheden.
• Øgede investeringer i elektriske og autonome køretøjers cybersikkerhed for at forhindre digital kapring.
• Flere aflytningsangreb, hvor kriminelle overtager ukrypterede kommunikationskanaler; denne kriminalitetstendens kan resultere i, at flere forbrugere foretrækker krypterede meddelelsesapps (EMA'er).
• Flere hændelser af social engineering-angreb, der udnytter svag adgangskodebeskyttelse, især blandt brugere af ældre enheder.

Spørgsmål at kommentere på

• Hvordan sikrer du, at dine IoT-enheder er godt beskyttet?
• Hvilke andre måder kan forbrugere forbedre sikkerheden på deres IoT-enheder?