Սպառողների IoT խոցելիություններ. Երբ փոխկապակցվածությունը նշանակում է ընդհանուր ռիսկեր
Սպառողների IoT խոցելիություններ. Երբ փոխկապակցվածությունը նշանակում է ընդհանուր ռիսկեր
Սպառողների IoT խոցելիություններ. Երբ փոխկապակցվածությունը նշանակում է ընդհանուր ռիսկեր
- Հեղինակ:
- Հուլիս 5, 2023
Insight-ի կարևորագույն կետերը
Թեև իրերի ինտերնետը (IoT) արդյունաբերությունը շարունակում է նորարարություններ կատարել, այն բախվում է կիբերանվտանգության ուշագրավ խնդիրների հետ, քանի որ սպառողները անտեսում են սարքի լռելյայն գաղտնաբառերը թարմացնելու և արտադրողների կողմից չստուգված գործառույթներ ներկայացնելու պատճառով: Այս մարտահրավերներին ավելանում է հանրային խոցելիության բացահայտման բացակայությունը և ընկերությունները դրանց լուծման հստակ ծրագիր չունեն: Թեև որպես ռիսկերի կառավարման ռազմավարություններ օգտագործվում են չբացահայտման համաձայնագրերը, վրիպակների պարգևատրման ծրագրերը և Համակարգված խոցելիության բացահայտումը (CVD), խոցելիության բացահայտման քաղաքականության ընդունումն ամբողջ ոլորտում մնում է ցածր:
Սպառողների IoT խոցելիության համատեքստը
Թեև սարքերը, ինչպիսիք են տնային օգնականները և խելացի անվտանգության տեսախցիկները, առավելություններ ունեն, IoT արդյունաբերությունը դեռ երկար ճանապարհ ունի անցնելու կիբերանվտանգության առումով: Չնայած դիզայնի և ենթակառուցվածքի առաջընթացին, այս սարքերը մնում են խոցելի կիբերհարձակումների նկատմամբ: Այս խնդրին ավելի է բարդանում այն փաստը, որ շատ սպառողներ չգիտեն իրենց սարքերի օպերացիոն համակարգերի արդիականացման լավագույն փորձը: Համաձայն IoT Magazine-ի՝ IoT սարքերի բոլոր սեփականատերերի 15 տոկոսը չի փոխում լռելյայն գաղտնաբառերը, ինչը նշանակում է, որ հաքերները կարող են մուտք գործել բոլոր հարակից սարքերի 10 տոկոսը՝ ընդամենը հինգ օգտանունների և գաղտնաբառերի համակցություններով:
Անվտանգության այլ մարտահրավերները հիմնված են այն բանի վրա, թե ինչպես են այս սարքերը տեղադրվում կամ պահպանվում: Եթե մեքենան կամ ծրագրաշարը մնում է անապահով, օրինակ՝ այն չի կարող շտկվել անվտանգության նոր թարմացումներով կամ վերջնական օգտատերերը չեն կարող փոխել լռելյայն գաղտնաբառը, դա հեշտությամբ կարող է սպառողի տնային ցանցը ենթարկել կիբերհարձակման: Մեկ այլ խնդիր է, երբ ծրագրավորողը փակվում է, և ոչ ոք չի վերցնում նրանց ծրագրակազմը կամ հարթակները:
Իրերի ինտերնետի հարձակումները տարբեր են՝ կախված մեքենայից կամ ենթակառուցվածքից: Օրինակ՝ ծրագրակազմի կամ որոնվածի խոցելիությունը կարող է թույլ տալ հաքերներին շրջանցել էլեկտրական մեքենաների (EVs) անվտանգության համակարգերը: Միևնույն ժամանակ, որոշ IoT արտադրողներ հաճախ ավելացնում են նոր հնարավորություններ իրենց սարքերին կամ ինտերֆեյսներին՝ առանց դրանք մանրակրկիտ փորձարկելու: Օրինակ, պարզ թվացող մի բան, ինչպիսին EV լիցքավորիչն է, կարող է թալանվել և լիցքավորվել, ինչը հանգեցնում է ֆիզիկական վնասների:
Խանգարող ազդեցություն
Համաձայն IoT Security Foundation-ի կողմից անցկացված 2020 թվականի հետազոտության, այն ոլորտներից մեկը, որտեղ IoT արտադրողները բավարար չափով չէին անում, հանրային խոցելիության բացահայտումն էր: IoT-ին միացված սարքերի անվտանգությունը բարելավելու հիմնական միջոցը հետազոտողների համար հեշտացնելն է զեկուցել իրենց հայտնաբերած խոցելիության մասին անմիջապես արտադրողներին: Միևնույն ժամանակ, ընկերությունները պետք է տեղեկացնեն, թե ինչպես կպատասխանեն այս մտահոգությունները բացահայտելուց հետո, և ինչ ժամկետներ կարելի է ակնկալել ծրագրային ապահովման կարկատանների կամ այլ ուղղումների համար:
Կիբերանվտանգության առաջացող սպառնալիքների դեմ պայքարելու համար որոշ ձեռնարկություններ հիմնվում են չբացահայտման համաձայնագրերի վրա: Մյուսները գրավում են հետազոտողներին վրիպակների պարգևներով (այսինքն՝ վճարելով հայտնաբերված խոցելիության համար): Կան նաև մասնագիտացված ծառայություններ, որոնք ընկերությունները կարող են պահպանել՝ կառավարելու բացահայտումները և սխալների պարգևատրման ծրագրերը: Ռիսկերի կառավարման մեկ այլ մեթոդ է Համակարգված խոցելիության բացահայտումը (CVD), որտեղ արտադրողն ու հետազոտողը միասին աշխատում են խնդիրը շտկելու համար, այնուհետև հրապարակում են և՛ շտկման, և՛ խոցելիության հաշվետվությունները միաժամանակ՝ նվազեցնելու օգտատերերի հնարավոր վնասը:
Ցավոք սրտի, որոշ ընկերություններ բացահայտումներ վարելու ծրագիր չունեն: Թեև խոցելիության բացահայտման քաղաքականություն ունեցող ընկերությունների թիվը 13.3 թվականին աճել է մինչև 2019 տոկոս՝ 9.7 թվականի 2018 տոկոսից, արդյունաբերության ընդունումը հիմնականում ցածր է մնացել (2022 թ.): Բարեբախտաբար, կան աճող կանոնակարգեր, որոնք պարտադրում են բացահայտման քաղաքականությունը: 2020 թվականին ԱՄՆ կառավարությունը ընդունեց Իրերի ինտերնետի կիբերանվտանգության բարելավման ակտը, որը պահանջում էր IoT պրովայդերներից ունենալ խոցելի բացահայտման քաղաքականություն՝ նախքան դաշնային գործակալություններին վաճառելը:
Սպառողների IoT խոցելիության հետևանքները
Սպառողների IoT խոցելիության ավելի լայն հետևանքները կարող են ներառել.
- Կառավարությունները, որոնք կարգավորում են IoT արտադրողներին, որպեսզի ունենան բացահայտման քաղաքականություն և խիստ և թափանցիկ փորձարկումներ:
- Ավելի շատ տեխնոլոգիական ընկերություններ, որոնք ստեղծում են ասոցիացիաներ՝ համաձայնվելու ընդհանուր ստանդարտներին և մշակելու միասնական կիբերանվտանգության արձանագրություններ, որոնք կարող են սարքերը դարձնել փոխգործունակ և ավելի անվտանգ:
- Սմարթֆոններ և այլ անձնական սպառողական սարքեր, որոնք իրականացնում են առաջադեմ բազմագործոն նույնականացում և կենսաչափական նույնականացում՝ կիբերանվտանգությունը բարձրացնելու համար:
- Էլեկտրական և ինքնավար մեքենաների կիբերանվտանգության ոլորտում ներդրումների ավելացում՝ թվային առևանգումը կանխելու համար:
- Ավելի շատ գաղտնալսման հարձակումներ, որտեղ հանցագործները գրավում են չգաղտնագրված կապի ուղիները. հանցագործության այս միտումը կարող է հանգեցնել նրան, որ ավելի շատ սպառողներ նախընտրեն գաղտնագրված հաղորդագրությունների հավելվածները (EMA):
- Սոցիալական ինժեներական հարձակումների ավելի շատ դեպքեր, որոնք օգտվում են գաղտնաբառի թույլ պաշտպանությունից, հատկապես հին սարքերի օգտագործողների շրջանում:
Հարցեր մեկնաբանելու համար
- Ինչպե՞ս եք ապահովում, որ ձեր IoT սարքերը լավ պաշտպանված են:
- Ի՞նչ այլ եղանակներով կարող են սպառողները բարձրացնել իրենց IoT սարքերի անվտանգությունը:
Insight հղումներ
Հետևյալ հանրաճանաչ և ինստիտուցիոնալ հղումները վկայակոչվել են այս պատկերացման համար.