Ранливост на IoT на потрошувачите: кога интерконективноста значи заеднички ризици

• автор:
• име на авторот

  Quantumrun Foresight
• Јули 5, 2023

Увид нагласува

Додека индустријата на Интернет на нештата (IoT) продолжува да иновира, таа се бори со забележителни проблеми со сајбер безбедноста поради тоа што потрошувачите занемаруваат да ги ажурираат стандардните лозинки на уредите и производителите воведуваат непроверени функции. Овие предизвици се надополнети со недостатокот на јавно обелоденување на ранливости и компаниите кои немаат јасен план за справување со нив. Иако постои одредена употреба на договори за необјавување, програми за баунтирање грешки и Координирано откривање на ранливост (CVD) како стратегии за управување со ризик, усвојувањето на политиките за откривање ранливост низ целата индустрија останува ниско. 

Контекс на ранливости на IoT на потрошувачите

Иако има предности за уредите како домашните асистенти и паметните безбедносни камери, индустријата за IoT сè уште има долг пат да помине во однос на сајбер безбедноста. И покрај напредокот во дизајнот и инфраструктурата, овие уреди остануваат ранливи на сајбер напади. Овој проблем дополнително се надополнува со фактот што многу потрошувачи не ги знаат најдобрите практики за надградба на оперативните системи на нивните уреди. Според списанието IoT, 15 проценти од сите сопственици на IoT уреди не ги менуваат стандардните лозинки, што значи дека хакерите можат да пристапат до 10 проценти од сите поврзани уреди со само пет комбинации на корисничко име и лозинка.

Другите безбедносни предизвици се вкоренети во начинот на кој овие уреди се поставуваат или одржуваат. Ако машината или софтверот останат необезбедени - на пример, не може да се закрпат со нови безбедносни ажурирања или крајните корисници не можат да ја променат стандардната лозинка - тоа лесно може да ја изложи домашната мрежа на потрошувачот на сајбер напад. Друг предизвик е кога развивачот се затвора, а никој не го презема нивниот софтвер или платформи. 

Нападите на Интернет на нештата варираат, во зависност од машината или инфраструктурата. На пример, пропустите на софтверот или фирмверот може да им дозволат на хакерите да ги заобиколат безбедносните системи на електричните возила (ЕВ). Во меѓувреме, некои производители на IoT често додаваат нови функции на нивните уреди или интерфејси без темелно да ги тестираат. На пример, нешто навидум едноставно, како полнач за ЕВ, може да се пробие до недоволно или преполнето, што ќе доведе до физички оштетувања.

Нарушувачко влијание

Според истражувањето во 2020 година, спроведено од Фондацијата за безбедност на IoT, една од областите каде што производителите на IoT не правеа доволно е обезбедувањето јавно откривање на ранливоста. Клучен начин за подобрување на безбедноста на уредите поврзани со IoT е да им се олесни на истражувачите да ги пријават ранливостите што ги наоѓаат директно до производителите. Во исто време, компаниите треба да соопштат како ќе реагираат откако ќе се идентификуваат овие проблеми и која временска рамка може да се очекува за софтверски закрпи или други поправки.

За борба против новите закани за сајбер безбедноста, некои бизниси се потпираат на договори за необјавување. Други ги привлекуваат истражувачите со награди за грешки (т.е. плаќање за откриени пропусти). Исто така, постојат специјализирани услуги кои фирмите можат да ги задржат за да управуваат со обелоденувањата и програмите за баунтирање грешки. Друга техника за управување со ризиците е Координирано обелоденување на ранливост (CVD), каде што продуцентот и истражувачот работат заедно за да го решат проблемот, а потоа да го објават извештајот за поправка и ранливост истовремено за да ја намалат можната штета на корисниците. 

За жал, некои компании немаат план за справување со обелоденувањата. Додека бројот на фирми со политики за откривање ранливост се искачи на 13.3 отсто во 2019 година од 9.7 отсто во 2018 година, усвојувањето на индустријата остана генерално ниско (2022 година). За среќа, има зголемени регулативи кои наложуваат политики за обелоденување. Во 2020 година, американската влада го усвои Законот за подобрување на сајбер безбедноста на Интернет на нештата, барајќи од провајдерите на IoT да имаат ранливи политики за откривање пред да го продадат на федералните агенции. 

Импликации на ранливости на IoT на потрошувачите

Пошироките импликации на ранливостите на IoT на потрошувачите може да вклучуваат: 

• Владите кои ги регулираат производителите на IoT да имаат политики за откривање и ригорозни и транспарентни тестирања.
• Повеќе технолошки компании формираат здруженија за да се согласат со заеднички стандарди и да развијат унифицирани протоколи за сајбер-безбедност кои можат да ги направат уредите интероперабилни и сè побезбедни.
• Паметни телефони и други лични уреди за потрошувачи кои спроведуваат напредна автентикација со повеќе фактори и биометриска идентификација за подобрување на сајбер безбедноста.
• Зголемени инвестиции во сајбер-безбедност на електрични и автономни возила за да се спречи дигитално киднапирање.
• Повеќе напади за прислушување, каде што криминалците ги преземаат нешифрираните комуникациски канали; овој криминален тренд може да резултира со тоа што повеќе потрошувачи претпочитаат апликации за шифрирани пораки (EMA).
• Повеќе инциденти на напади од социјален инженеринг што ја користат слабата заштита со лозинка, особено кај корисниците на постари уреди.

Прашања за коментирање

• Како да се осигурате дека вашите IoT уреди се добро заштитени?
• На кои други начини потрошувачите можат да ја подобрат безбедноста на нивните IoT уреди?