Уязвимости потребительского IoT: когда взаимосвязь означает общие риски

• Автор:
• Имя автора

  Квантумран Форсайт
• Июль 5, 2023

Основные моменты

В то время как индустрия Интернета вещей (IoT) продолжает внедрять инновации, она сталкивается с заметными проблемами кибербезопасности из-за того, что потребители пренебрегают обновлением паролей устройств по умолчанию, а производители внедряют непроверенные функции. Эти проблемы усугубляются отсутствием публичной информации об уязвимостях и отсутствием у компаний четкого плана по их устранению. Несмотря на то, что соглашения о неразглашении, программы вознаграждения за обнаружение ошибок и скоординированное раскрытие информации об уязвимостях (CVD) в некоторой степени используются в качестве стратегий управления рисками, общеотраслевая политика раскрытия информации об уязвимостях остается низкой. 

Контекст потребительских уязвимостей IoT

Несмотря на преимущества таких устройств, как домашние помощники и интеллектуальные камеры безопасности, индустрии IoT еще предстоит пройти долгий путь с точки зрения кибербезопасности. Несмотря на достижения в дизайне и инфраструктуре, эти устройства остаются уязвимыми для кибератак. Эта проблема усугубляется еще и тем фактом, что многие потребители не знают передовых методов обновления операционных систем своих устройств. По данным журнала IoT Magazine, 15% всех владельцев IoT-устройств не меняют пароли по умолчанию, а это означает, что хакеры могут получить доступ к 10% всех связанных устройств, используя всего пять комбинаций имени пользователя и пароля.

Другие проблемы безопасности связаны с тем, как эти устройства настраиваются или обслуживаются. Если машина или программное обеспечение остаются незащищенными — например, они не могут быть исправлены новыми обновлениями безопасности или конечные пользователи не могут изменить пароль по умолчанию — это может легко подвергнуть домашнюю сеть потребителя кибератаке. Еще одна проблема — когда разработчик закрывается, и никто не берет на себя его программное обеспечение или платформы. 

Атаки Интернета вещей различаются в зависимости от машины или инфраструктуры. Например, уязвимости программного обеспечения или прошивки могут позволить хакерам обойти системы безопасности электромобилей (EV). Между тем, некоторые производители IoT часто добавляют новые функции в свои устройства или интерфейсы без их тщательного тестирования. Например, что-то, казалось бы, простое, например, зарядное устройство для электромобиля, может быть взломано для недозарядки или перезарядки, что приведет к физическим повреждениям.

Разрушительное воздействие

Согласно опросу 2020 года, проведенному IoT Security Foundation, одной из областей, в которой производители IoT не делают достаточно, было публичное раскрытие информации об уязвимостях. Ключевой способ повысить безопасность устройств, подключенных к Интернету вещей, — облегчить исследователям возможность сообщать об обнаруженных ими уязвимостях непосредственно производителям. В то же время компаниям необходимо сообщать, как они будут реагировать после того, как эти проблемы будут выявлены, и какие сроки можно ожидать для исправлений программного обеспечения или других исправлений.

Для борьбы с новыми угрозами кибербезопасности некоторые компании полагаются на соглашения о неразглашении. Другие заманивают исследователей вознаграждением за обнаружение ошибок (т. е. платой за обнаруженные уязвимости). Существуют также специализированные службы, которые фирмы могут нанять для управления раскрытием информации и программами вознаграждения за ошибки. Еще одним методом управления рисками является скоординированное раскрытие информации об уязвимостях (CVD), при котором производитель и исследователь работают вместе над устранением проблемы, а затем одновременно публикуют исправление и отчет об уязвимости, чтобы уменьшить возможный ущерб для пользователей. 

К сожалению, у некоторых компаний нет плана обработки раскрытия информации. Хотя количество фирм, применяющих политику раскрытия информации об уязвимостях, выросло до 13.3% в 2019 году с 9.7% в 2018 году, уровень внедрения в отрасли в целом оставался низким (2022 год). К счастью, существует все больше правил, предписывающих политику раскрытия информации. В 2020 году правительство США приняло Закон об улучшении кибербезопасности Интернета вещей, требующий от провайдеров IoT иметь политику раскрытия уязвимостей перед продажей федеральным агентствам. 

Последствия потребительских уязвимостей IoT

Более широкие последствия уязвимостей потребительского IoT могут включать: 

• Правительства, регулирующие производителей IoT, должны иметь политику раскрытия информации и тщательное и прозрачное тестирование.
• Больше технологических компаний создают ассоциации для согласования общих стандартов и разработки унифицированных протоколов кибербезопасности, которые могут сделать устройства совместимыми и более безопасными.
• Смартфоны и другие личные потребительские устройства, реализующие расширенную многофакторную аутентификацию и биометрическую идентификацию для повышения кибербезопасности.
• Увеличение инвестиций в кибербезопасность электрических и автономных транспортных средств для предотвращения угона цифровых технологий.
• Больше атак с прослушиванием, когда преступники захватывают незашифрованные каналы связи; эта криминальная тенденция может привести к тому, что больше потребителей предпочтут приложения для обмена зашифрованными сообщениями (EMA).
• Больше случаев атак социальной инженерии, использующих слабую защиту паролем, особенно среди пользователей старых устройств.

Вопросы для комментариев

• Как вы гарантируете, что ваши устройства IoT хорошо защищены?
• Какими еще способами потребители могут повысить безопасность своих IoT-устройств?