Quantumrun

KREDIT ZA SLIKU:

iStock

Potrošačke IoT ranjivosti: kada međupovezanost znači zajedničke rizike

Zahvaljujući povećanju broja pametnih uređaja kao što su uređaji, uređaji za fitnes i automobilski sistemi, hakeri imaju mnogo više ciljeva za izbor.

Autor:
Ime autora
Quantumrun Foresight
Juli 5, 2023

Insight highlights

Iako industrija interneta stvari (IoT) nastavlja sa inovacijama, bori se s značajnim problemima kibernetičke sigurnosti zbog toga što potrošači zanemaruju ažuriranje zadanih lozinki uređaja i proizvođači koji uvode neprovjerene funkcije. Ovi izazovi su otežani nedostatkom javnog otkrivanja ranjivosti i kompanijama koje nemaju jasan plan za njihovo rješavanje. Iako postoji određena upotreba ugovora o neotkrivanju podataka, programa nadoknade za greške i koordinisanog otkrivanja ranjivosti (CVD) kao strategija upravljanja rizikom, usvajanje politika otkrivanja ranjivosti u čitavoj industriji ostaje nisko.

Kontekst ranjivosti potrošačkog interneta stvari

Iako postoje prednosti uređaja kao što su kućni pomoćnici i pametne sigurnosne kamere, IoT industrija još uvijek mora preći dug put u smislu sajber sigurnosti. Uprkos napretku u dizajnu i infrastrukturi, ovi uređaji su i dalje ranjivi na sajber napade. Ovaj problem je dodatno otežan činjenicom da mnogi potrošači ne poznaju najbolje prakse za nadogradnju operativnih sistema svojih uređaja. Prema IoT Magazinu, 15 posto svih vlasnika IoT uređaja ne mijenja zadane lozinke, što znači da hakeri mogu pristupiti 10 posto svih povezanih uređaja sa samo pet kombinacija korisničkog imena i lozinke.

Ostali sigurnosni izazovi su ukorijenjeni u načinu na koji se ti uređaji postavljaju ili održavaju. Ako mašina ili softver ostanu nezaštićeni – na primjer, ne mogu se zakrpiti novim sigurnosnim ažuriranjima ili krajnji korisnici ne mogu promijeniti zadanu lozinku – lako bi mogli izložiti kućnu mrežu potrošača sajber napadu. Drugi izazov je kada se programer zatvori, a niko ne preuzme njihov softver ili platforme.

Napadi Interneta stvari variraju u zavisnosti od mašine ili infrastrukture. Na primjer, ranjivosti softvera ili firmvera mogu omogućiti hakerima da zaobiđu sigurnosne sisteme električnih vozila (EV). U međuvremenu, neki IoT proizvođači često dodaju nove funkcije svojim uređajima ili sučeljima bez da ih temeljito testiraju. Na primjer, nešto naizgled jednostavno, kao što je EV punjač, može se hakirati kako bi se premalo ili prepunilo, što može dovesti do fizičkih oštećenja.

Ometajući uticaj

Prema istraživanju iz 2020. koje je provela Fondacija za sigurnost IoT-a, jedno od područja u kojima proizvođači IoT-a nisu činili dovoljno bilo je javno otkrivanje ranjivosti. Ključni način za poboljšanje sigurnosti uređaja povezanih na IoT je olakšavanje istraživačima da prijave ranjivosti koje pronađu direktno proizvođačima. U isto vrijeme, kompanije moraju komunicirati kako će reagirati nakon što se ti problemi identificiraju i koji vremenski okvir se može očekivati za softverske zakrpe ili druge popravke.

Za borbu protiv novih prijetnji kibernetičke sigurnosti, neke kompanije se oslanjaju na ugovore o neotkrivanju podataka. Drugi mame istraživače nagradama za greške (tj. plaćanjem za otkrivene ranjivosti). Postoje i specijalizirane usluge koje firme mogu zadržati za upravljanje otkrivanjima i programima nagrađivanja grešaka. Druga tehnika za upravljanje rizicima je Koordinirano otkrivanje ranjivosti (CVD), gdje producent i istraživač rade zajedno kako bi riješili problem, a zatim istovremeno objavili i popravak i izvještaj o ranjivosti kako bi se smanjila moguća šteta za korisnike.

Nažalost, neke kompanije nemaju plan za rješavanje objava. Dok je broj firmi sa politikama otkrivanja ranjivosti porastao na 13.3 posto u 2019. sa 9.7 posto u 2018. godini, usvajanje u industriji je općenito ostalo nisko (2022.). Srećom, sve je više propisa koji nalažu politiku otkrivanja podataka. Godine 2020. američka vlada je usvojila Zakon o poboljšanju kibernetičke sigurnosti Interneta stvari, koji zahtijeva od IoT provajdera da imaju ranjivu politiku otkrivanja prije prodaje federalnim agencijama.

Implikacije ranjivosti IoT-a potrošača

Šire implikacije ranjivosti IoT-a potrošača mogu uključivati:

Vlade koje regulišu proizvođače interneta stvari da imaju politiku otkrivanja podataka i rigorozno i transparentno testiranje.
Više tehnoloških kompanija koje formiraju udruženja kako bi se složile sa zajedničkim standardima i razvile unificirane protokole kibernetičke sigurnosti koji mogu učiniti uređaje interoperabilnim i sve sigurnijim.
Pametni telefoni i drugi lični potrošački uređaji koji implementiraju naprednu višefaktorsku autentifikaciju i biometrijsku identifikaciju radi poboljšanja sajber sigurnosti.
Povećana ulaganja u sajber sigurnost električnih i autonomnih vozila kako bi se spriječila digitalna otmica.
Više napada prisluškivanja, gdje kriminalci preuzimaju nešifrirane komunikacijske kanale; ovaj trend kriminala može dovesti do toga da više potrošača preferira šifrirane aplikacije za razmjenu poruka (EMA).
Više incidenata napada socijalnog inženjeringa koji koriste slabu zaštitu lozinkom, posebno među korisnicima starijih uređaja.