Zraniteľnosť spotrebiteľov internetu vecí: Keď prepojenie znamená zdieľané riziká

• Autor:
• meno autora

  Predvídavosť Quantumrun
• Júla 5, 2023

Zvýraznenie prehľadu

Zatiaľ čo priemysel internetu vecí (IoT) pokračuje v inováciách, potýka sa s významnými problémami s kybernetickou bezpečnosťou, pretože spotrebitelia zanedbávajú aktualizáciu predvolených hesiel zariadení a výrobcovia zavádzajú netestované funkcie. Tieto výzvy sú znásobené nedostatkom zverejňovania informácií o zraniteľnosti a spoločnostiam, ktoré nemajú jasný plán na ich riešenie. Aj keď sa ako stratégie riadenia rizík do určitej miery používajú dohody o mlčanlivosti, programy odmeňovania chýb a koordinované zverejňovanie zraniteľností (CVD), prijatie zásad zverejňovania zraniteľností v celom odvetví zostáva nízke. 

Kontext zraniteľnosti spotrebiteľa internetu vecí

Aj keď zariadenia, ako sú domáci asistenti a inteligentné bezpečnostné kamery, majú výhody, odvetvie internetu vecí má ešte pred sebou dlhú cestu, pokiaľ ide o kybernetickú bezpečnosť. Napriek pokrokom v dizajne a infraštruktúre zostávajú tieto zariadenia zraniteľné voči kybernetickým útokom. Tento problém je ďalej umocnený skutočnosťou, že mnohí spotrebitelia nepoznajú osvedčené postupy na inováciu operačných systémov svojich zariadení. Podľa časopisu IoT Magazine 15 percent všetkých vlastníkov zariadení IoT nemení predvolené heslá, čo znamená, že hackeri majú prístup k 10 percentám všetkých súvisiacich zariadení iba s piatimi kombináciami používateľského mena a hesla.

Ďalšie bezpečnostné výzvy sú zakorenené v tom, ako sú tieto zariadenia nastavené alebo udržiavané. Ak je stroj alebo softvér ponechaný nezabezpečený – napríklad ho nemožno opraviť novými bezpečnostnými aktualizáciami alebo koncoví používatelia nemôžu zmeniť predvolené heslo – mohlo by to ľahko vystaviť domácu sieť spotrebiteľa kybernetickému útoku. Ďalšou výzvou je, keď sa vývojár zatvorí a nikto neprevezme ich softvér alebo platformy. 

Útoky internetu vecí sa líšia v závislosti od stroja alebo infraštruktúry. Napríklad slabé miesta softvéru alebo firmvéru môžu hackerom umožniť obísť bezpečnostné systémy elektrických vozidiel (EV). Niektorí výrobcovia internetu vecí medzitým často pridávajú nové funkcie do svojich zariadení alebo rozhraní bez toho, aby ich dôkladne otestovali. Napríklad niečo zdanlivo jednoduché, ako je nabíjačka EV, môže byť napadnuté a podbité alebo prebité, čo vedie k fyzickému poškodeniu.

Rušivý vplyv

Podľa prieskumu IoT Security Foundation z roku 2020 bolo jednou z oblastí, kde výrobcovia internetu vecí nerobili dosť, poskytovanie verejných informácií o zraniteľnosti. Kľúčovým spôsobom, ako zlepšiť bezpečnosť zariadení pripojených k internetu vecí, je uľahčiť výskumníkom oznamovanie zraniteľností, ktoré nájdu, priamo výrobcom. Spoločnosti musia zároveň oznámiť, ako budú reagovať, keď budú tieto obavy identifikované, a aký časový rámec možno očakávať pre softvérové ​​opravy alebo iné opravy.

V boji proti vznikajúcim hrozbám kybernetickej bezpečnosti sa niektoré podniky spoliehajú na dohody o mlčanlivosti. Iní lákajú výskumníkov na odmenu za chyby (tj platenie za objavené zraniteľnosti). Existujú aj špecializované služby, ktoré si firmy môžu ponechať na správu zverejňovania informácií a programov odmeňovania chýb. Ďalšou technikou na riadenie rizík je Coordinated Vulnerability Disclosure (CVD), kde výrobca a výskumník spolupracujú na odstránení problému a potom súčasne vydajú správu o oprave aj o zraniteľnosti, aby sa znížilo možné poškodenie používateľov. 

Žiaľ, niektoré spoločnosti nemajú žiadny plán na spracovanie zverejnených informácií. Zatiaľ čo počet firiem s politikou zverejňovania zraniteľnosti vzrástol v roku 13.3 na 2019 percenta z 9.7 percenta v roku 2018, prijatie v tomto odvetví zostáva vo všeobecnosti nízke (2022). Našťastie existuje stále viac predpisov, ktoré nariaďujú politiku zverejňovania. V roku 2020 vláda USA schválila zákon o zlepšovaní kybernetickej bezpečnosti internetu vecí, ktorý od poskytovateľov internetu vecí vyžaduje, aby pred predajom federálnym agentúram mali citlivé zásady zverejňovania. 

Dôsledky zraniteľnosti spotrebiteľov internetu vecí

Širšie dôsledky spotrebiteľských zraniteľností internetu vecí môžu zahŕňať: 

• Vlády regulujúce výrobcov internetu vecí, aby mali zásady zverejňovania a prísne a transparentné testovanie.
• Viac technologických spoločností vytvára združenia, aby súhlasili so spoločnými štandardmi a vyvinuli jednotné protokoly kybernetickej bezpečnosti, vďaka ktorým budú zariadenia interoperabilné a budú čoraz bezpečnejšie.
• Smartfóny a iné osobné spotrebiteľské zariadenia využívajúce pokročilú viacfaktorovú autentifikáciu a biometrickú identifikáciu na zvýšenie kybernetickej bezpečnosti.
• Zvýšené investície do kybernetickej bezpečnosti elektrických a autonómnych vozidiel s cieľom zabrániť digitálnemu únosu.
• Viac odpočúvacích útokov, pri ktorých zločinci preberajú nešifrované komunikačné kanály; tento trend kriminality môže viesť k tomu, že viac spotrebiteľov uprednostňuje aplikácie na šifrované odosielanie správ (EMA).
• Viac incidentov útokov sociálneho inžinierstva, ktoré využívajú slabú ochranu heslom, najmä medzi používateľmi starších zariadení.

Otázky na komentár

• Ako zabezpečíte, aby boli vaše IoT zariadenia dobre chránené?
• Aké ďalšie spôsoby môžu spotrebitelia zvýšiť bezpečnosť svojich zariadení internetu vecí?