Тұтынушының IoT осалдықтары: өзара байланыс ортақ тәуекелдерді білдіреді

• автор:
• Автордың аты-жөні

  Кванттық болжау
• Шілде 5, 2023

Insight маңызды сәттері

Заттар интернеті (IoT) индустриясы инновацияларды жалғастырып жатқанымен, тұтынушылардың құрылғының әдепкі құпия сөздерін жаңартуға немқұрайлы қарауы және өндірушілердің тексерілмеген мүмкіндіктерді енгізуіне байланысты маңызды киберқауіпсіздік мәселелерімен күресуде. Бұл қиындықтар осалдықтарды жария етпеуімен және компанияларда олармен күресудің нақты жоспарының жоқтығымен қиындады. Тәуекелдерді басқару стратегиялары ретінде жария етпеу туралы келісімдерді, қателерді сыйға тарту бағдарламаларын және Үйлестірілген осалдықты ашуды (CVD) пайдалану бар болса да, осалдықты ашу саясатының салалық ауқымда қабылдануы төмен болып қалады. 

Тұтынушының IoT осалдық контексті

Үй көмекшілері және смарт қауіпсіздік камералары сияқты құрылғылардың артықшылықтары бар болса да, IoT индустриясының киберқауіпсіздік тұрғысынан әлі де көп жолы бар. Дизайн мен инфрақұрылымдағы жетістіктерге қарамастан, бұл құрылғылар кибершабуылдарға осал болып қала береді. Бұл мәселе көптеген тұтынушылардың өз құрылғыларының операциялық жүйелерін жаңартудың ең жақсы әдістерін білмеуімен қиындайды. IoT журналының мәліметі бойынша, IoT құрылғыларының барлық иелерінің 15 пайызы әдепкі құпия сөздерді өзгертпейді, яғни хакерлер барлық қатысты құрылғылардың 10 пайызына тек бес пайдаланушы аты мен құпия сөз тіркесімімен қол жеткізе алады.

Басқа қауіпсіздік мәселелері осы құрылғылардың орнатылу немесе қызмет көрсету әдісіне негізделген. Егер машина немесе бағдарламалық құрал қорғалмаған болса, мысалы, оны жаңа қауіпсіздік жаңартуларымен түзету мүмкін болмаса немесе соңғы пайдаланушылар әдепкі құпия сөзді өзгерте алмаса, бұл тұтынушының үй желісін кибершабуылға оңай ұшыратуы мүмкін. Тағы бір қиындық - әзірлеуші ​​​​жабатын кезде және олардың бағдарламалық жасақтамасын немесе платформаларын ешкім басып алмайды. 

Заттар интернеті шабуылдары құрылғыға немесе инфрақұрылымға байланысты өзгереді. Мысалы, бағдарламалық немесе микробағдарламаның осалдықтары хакерлерге электр көліктерінің (EV) қауіпсіздік жүйелерін айналып өтуге мүмкіндік береді. Сонымен қатар, кейбір IoT өндірушілері өз құрылғыларына немесе интерфейстеріне мұқият сынамай-ақ жаңа мүмкіндіктерді жиі қосады. Мысалы, EV зарядтағыш сияқты қарапайым болып көрінетін нәрсені аз немесе шамадан тыс зарядтау үшін бұзуға болады, бұл физикалық зақымға әкеледі.

Деструктивті әсер

IoT қауіпсіздік қоры жүргізген 2020 сауалнамасына сәйкес, IoT өндірушілері жеткіліксіз жұмыс істейтін салалардың бірі қоғамдық осалдықты ашу болды. IoT-ке қосылған құрылғылардың қауіпсіздігін жақсартудың негізгі жолы - зерттеушілерге табылған осалдықтар туралы тікелей өндірушілерге хабарлауды жеңілдету. Сонымен қатар, компаниялар осы алаңдаушылықтар анықталғаннан кейін қалай жауап беретінін және бағдарламалық жасақтама патчтары немесе басқа түзетулер үшін қандай уақыт шеңберін күтуге болатынын хабарлауы керек.

Жаңадан пайда болған киберқауіпсіздік қатерлерімен күресу үшін кейбір компаниялар ақпаратты жарияламау туралы келісімдерге сүйенеді. Басқалары зерттеушілерді қателер үшін сыйақылармен (яғни, анықталған осалдықтар үшін ақы төлеу) қызықтырады. Сондай-ақ фирмалар ақпаратты ашуды және қателік сыйақы бағдарламаларын басқару үшін сақтай алатын арнайы қызметтер бар. Тәуекелдерді басқарудың тағы бір әдісі – осалдықты келісілген ашу (CVD), мұнда өндіруші мен зерттеуші мәселені шешу үшін бірге жұмыс істейді, содан кейін пайдаланушыларға ықтимал зиянды азайту үшін түзету және осалдық туралы есепті бір уақытта шығарады. 

Өкінішке орай, кейбір компаниялардың ақпаратты ашу жоспары жоқ. Осалдықты ашу саясаты бар фирмалардың саны 13.3 жылғы 2019 пайыздан 9.7 жылы 2018 пайызға дейін өскенімен, саланы қабылдау жалпы төмен деңгейде қалды (2022). Бақытымызға орай, ақпаратты ашу саясатын талап ететін ережелер көбейіп келеді. 2020 жылы АҚШ үкіметі IoT провайдерлерінен федералды агенттіктерге сатудан бұрын осал ақпаратты ашу саясатын талап ететін заттар интернетінің киберқауіпсіздігін жақсарту туралы заң қабылдады. 

Тұтынушының IoT осалдықтарының салдары

Тұтынушының IoT осалдықтарының кеңірек салдары мыналарды қамтуы мүмкін: 

• IoT өндірушілерін реттейтін үкіметтер ақпаратты ашу саясаты мен қатаң және ашық тестілеуге ие болуы керек.
• Ортақ стандарттарға келісу және құрылғыларды өзара әрекеттесу және қауіпсіздікті арттыруға мүмкіндік беретін бірыңғай киберқауіпсіздік хаттамаларын әзірлеу үшін қауымдастықтарды құрайтын көбірек технологиялық компаниялар.
• Киберқауіпсіздікті жақсарту үшін жетілдірілген көп факторлы аутентификацияны және биометриялық сәйкестендіруді жүзеге асыратын смартфондар және басқа да жеке тұтынушы құрылғылары.
• Цифрлық ұрлаудың алдын алу үшін электрлік және автономды көліктердің киберқауіпсіздігіне инвестициялардың артуы.
• Қылмыскерлер шифрланбаған байланыс арналарын басып алатын көбірек тыңдау шабуылдары; бұл қылмыс тенденциясы тұтынушылардың шифрланған хабар алмасу қолданбаларын (EMA) таңдауына әкелуі мүмкін.
• Әлсіз құпия сөзді қорғау мүмкіндігін пайдаланатын әлеуметтік инженерлік шабуылдардың көбірек оқиғалары, әсіресе ескі құрылғыларды пайдаланушылар арасында.

Түсініктеме беруге арналған сұрақтар

• IoT құрылғыларыңыздың жақсы қорғалғанына қалай көз жеткізесіз?
• Тұтынушылар өздерінің IoT құрылғыларының қауіпсіздігін арттырудың тағы қандай жолдары бар?