Quantumrun

אשראי תמונה:

iStock

פגיעויות IoT של צרכנים: כאשר קישוריות פירושה סיכונים משותפים

הודות לגידול במכשירים חכמים כמו מכשירי חשמל, גאדג'טים לכושר ומערכות רכב, להאקרים יש הרבה יותר יעדים לבחירה.

מְחַבֵּר:
שם היוצר
Quantumrun Foresight
5 ביולי 2023

דגשים של תובנה

בעוד תעשיית האינטרנט של הדברים (IoT) ממשיכה לחדש, היא מתמודדת עם בעיות אבטחת סייבר בולטות עקב צרכנים שהזניחו לעדכן סיסמאות ברירת מחדל למכשירים ויצרנים שמציגים תכונות שלא נבדקו. אתגרים אלו מצטרפים להיעדר חשיפת פגיעות ציבורית ולחברות שאין להן תוכנית ברורה לטיפול בהן. למרות שיש שימוש מסוים בהסכמי סודיות, תוכניות פרס על באגים וגילוי פגיעות מתואם (CVD) כאסטרטגיות לניהול סיכונים, האימוץ בענף של מדיניות גילוי פגיעות נותר נמוך.

הקשר של פגיעויות IoT של צרכנים

למרות שישנם יתרונות למכשירים כמו עוזרות ביתיות ומצלמות אבטחה חכמות, לתעשיית ה-IoT יש עוד דרך ארוכה לעשות במונחים של אבטחת סייבר. למרות ההתקדמות בתכנון ובתשתית, המכשירים הללו נותרים פגיעים להתקפות סייבר. בעיה זו מתחזקת עוד יותר על ידי העובדה שצרכנים רבים אינם מכירים את השיטות המומלצות לשדרוג מערכות ההפעלה של המכשירים שלהם. לפי מגזין ה-IoT, 15 אחוז מכלל בעלי מכשירי ה-IoT אינם משנים סיסמאות ברירת מחדל, כלומר האקרים יכולים לגשת ל-10 אחוזים מכל המכשירים הקשורים עם חמישה שילובי שמות משתמש וסיסמא בלבד.

אתגרי אבטחה אחרים נטועים באופן ההגדרה או התחזוקה של מכשירים אלה. אם מכונה או תוכנה נשארים לא מאובטחים - למשל, לא ניתן לתקן אותם עם עדכוני אבטחה חדשים או שמשתמשי קצה לא יכולים לשנות את סיסמת ברירת המחדל - זה יכול בקלות לחשוף את הרשת הביתית של הצרכן למתקפת סייבר. אתגר נוסף הוא כאשר מפתח נסגר, ואף אחד לא משתלט על התוכנה או הפלטפורמות שלו.

התקפות Internet of Things משתנות, בהתאם למכונה או לתשתית. לדוגמה, פרצות תוכנה או קושחה יכולות לאפשר להאקרים לעקוף את מערכות האבטחה של כלי רכב חשמליים (EV). בינתיים, חלק מיצרני ה-IoT מוסיפים לעתים קרובות תכונות חדשות למכשירים או ממשקים שלהם מבלי לבדוק אותם ביסודיות. לדוגמה, משהו שנראה פשוט, כמו מטען EV, יכול להיפרץ לטעינה נמוכה או יתרה, מה שיוביל לנזק פיזי.

השפעה משבשת

על פי סקר משנת 2020 שנערך על ידי קרן IoT Security, אחד התחומים שבהם יצרני IoT לא עשו מספיק היה מתן חשיפת פגיעות ציבורית. דרך מרכזית לשיפור האבטחה של מכשירים המחוברים ל-IoT היא להקל על חוקרים לדווח על נקודות תורפה שהם מוצאים ישירות ליצרנים. במקביל, חברות צריכות לתקשר כיצד הן יגיבו לאחר זיהוי החששות הללו ואיזו מסגרת זמן אפשר לצפות לתיקוני תוכנה או תיקונים אחרים.

כדי להילחם באיומי אבטחת סייבר, חלק מהעסקים מסתמכים על הסכמי סודיות. אחרים מפתים חוקרים עם יתרונות באגים (כלומר, תשלום עבור פגיעויות שהתגלו). ישנם גם שירותים מיוחדים שחברות יכולות לשמור לניהול גילויים ותוכניות פרס באגים. טכניקה נוספת לניהול סיכונים היא Coordinated Vulnerability Disclosure (CVD), שבה המפיק והחוקר עובדים יחד כדי לתקן בעיה ולאחר מכן משחררים בו-זמנית גם את התיקון וגם את דוח הפגיעות כדי לצמצם נזק אפשרי למשתמשים.

למרבה הצער, לחלק מהחברות אין תוכנית לטיפול בגילויים. בעוד שמספר החברות עם מדיניות חשיפת פגיעות עלה ל-13.3% ב-2019 מ-9.7% ב-2018, האימוץ בתעשייה נותר נמוך בדרך כלל (2022). למרבה המזל, התקנות מתגברות המחייבות מדיניות גילוי. בשנת 2020, ממשלת ארה"ב העבירה את חוק שיפור אבטחת הסייבר באינטרנט של הדברים, המחייב ספקי IoT להיות בעלי מדיניות חשיפה פגיעה לפני מכירה לסוכנויות פדרליות.

השלכות של פגיעויות IoT של צרכנים

השלכות רחבות יותר של פגיעויות IoT של צרכנים עשויות לכלול:

ממשלות המסדירות את יצרני ה-IoT למדיניות גילוי ובדיקות קפדניות ושקופות.
חברות טכנולוגיה נוספות מקימות התאגדויות כדי להסכים לסטנדרטים משותפים ולפתח פרוטוקולי אבטחת סייבר מאוחדים שיכולים להפוך את המכשירים לפעולה הדדית ומאובטחת יותר ויותר.
סמארטפונים ומכשירי צרכנים אישיים אחרים המיישמים אימות רב-גורמי מתקדם וזיהוי ביומטרי כדי לשפר את אבטחת הסייבר.
הגדלת ההשקעות באבטחת סייבר לרכב חשמלי ואוטונומי כדי למנוע חטיפת דיגיטלית.
עוד התקפות האזנה, שבהן פושעים משתלטים על ערוצי תקשורת לא מוצפנים; מגמת פשיעה זו עשויה לגרום ליותר צרכנים להעדיף אפליקציות הודעות מוצפנות (EMAs).
יותר מקרים של התקפות הנדסה חברתית המנצלות את הגנת סיסמה חלשה, במיוחד בקרב משתמשי מכשירים ישנים יותר.