Kerentanan IoT Pengguna: Apabila kesalinghubungan bermakna risiko dikongsi

KREDIT GAMBAR:
Kredit Image
iStock

Kerentanan IoT Pengguna: Apabila kesalinghubungan bermakna risiko dikongsi

Kerentanan IoT Pengguna: Apabila kesalinghubungan bermakna risiko dikongsi

Teks subtajuk
Terima kasih kepada peningkatan dalam peranti pintar seperti perkakas, alat kecergasan dan sistem kereta, penggodam mempunyai lebih banyak sasaran untuk dipilih.
    • Pengarang
    • Nama pengarang
      Quantumrun Foresight
    • Julai 5, 2023

    Sorotan wawasan

    Walaupun industri Internet Perkara (IoT) terus berinovasi, ia bergelut dengan isu keselamatan siber yang ketara disebabkan pengguna mengabaikan mengemas kini kata laluan peranti lalai dan pengeluar yang memperkenalkan ciri yang belum diuji. Cabaran ini ditambah lagi dengan kekurangan pendedahan kelemahan awam dan syarikat tidak mempunyai rancangan yang jelas untuk mengendalikannya. Walaupun terdapat beberapa penggunaan perjanjian bukan pendedahan, program hadiah pepijat dan Pendedahan Keterdedahan Terselaras (CVD) sebagai strategi pengurusan risiko, penggunaan dasar pendedahan kerentanan seluruh industri masih rendah. 

    Konteks kelemahan pengguna IoT

    Walaupun terdapat kelebihan pada peranti seperti pembantu rumah dan kamera keselamatan pintar, industri IoT masih jauh untuk ditempuhi dari segi keselamatan siber. Walaupun kemajuan dalam reka bentuk dan infrastruktur, peranti ini kekal terdedah kepada serangan siber. Masalah ini ditambah lagi dengan fakta bahawa ramai pengguna tidak mengetahui amalan terbaik untuk menaik taraf sistem pengendalian peranti mereka. Menurut Majalah IoT, 15 peratus daripada semua pemilik peranti IoT tidak menukar kata laluan lalai, bermakna penggodam boleh mengakses 10 peratus daripada semua peranti berkaitan dengan hanya lima kombinasi nama pengguna dan kata laluan.

    Cabaran keselamatan lain berpunca daripada cara peranti ini disediakan atau diselenggara. Jika mesin atau perisian dibiarkan tidak selamat—contohnya, ia tidak boleh ditampal dengan kemas kini keselamatan baharu atau pengguna akhir tidak boleh menukar kata laluan lalai—ia boleh mendedahkan rangkaian rumah pengguna dengan mudah kepada serangan siber. Cabaran lain ialah apabila pembangun ditutup, dan tiada siapa yang mengambil alih perisian atau platform mereka. 

    Serangan Internet of Things berbeza-beza, bergantung pada mesin atau infrastruktur. Contohnya, kelemahan lembut atau perisian tegar boleh membenarkan penggodam memintas sistem keselamatan kenderaan elektrik (EV). Sementara itu, sesetengah pengeluar IoT sering menambah ciri baharu pada peranti atau antara muka mereka tanpa mengujinya secara menyeluruh. Sebagai contoh, sesuatu yang kelihatan mudah, seperti pengecas EV, boleh digodam hingga kurang atau terlalu caj, yang membawa kepada kerosakan fizikal.

    Kesan yang mengganggu

    Menurut kaji selidik 2020 yang dijalankan oleh Yayasan Keselamatan IoT, salah satu bidang yang pengeluar IoT tidak melakukan secukupnya ialah menyediakan pendedahan kelemahan awam. Cara utama untuk meningkatkan keselamatan peranti yang disambungkan kepada IoT ialah memudahkan penyelidik melaporkan kelemahan yang mereka temui terus kepada pengeluar. Pada masa yang sama, syarikat perlu menyampaikan cara mereka akan bertindak balas sebaik sahaja kebimbangan ini telah dikenal pasti dan jangka masa yang boleh dijangkakan untuk tampung perisian atau pembaikan lain.

    Untuk memerangi ancaman keselamatan siber yang muncul, sesetengah perniagaan bergantung pada perjanjian bukan pendedahan. Yang lain memikat penyelidik dengan hadiah pepijat (iaitu, membayar untuk kelemahan yang ditemui). Terdapat juga perkhidmatan khusus yang boleh disimpan oleh firma untuk mengurus pendedahan dan program hadiah pepijat. Teknik lain untuk mengurus risiko ialah Pendedahan Keterdedahan Terselaras (CVD), di mana pengeluar dan penyelidik bekerjasama untuk menyelesaikan isu dan kemudian mengeluarkan laporan pembetulan dan kelemahan secara serentak untuk mengurangkan kemungkinan kerosakan kepada pengguna. 

    Malangnya, sesetengah syarikat tidak mempunyai rancangan untuk mengendalikan pendedahan. Walaupun bilangan firma yang mempunyai dasar pendedahan kerentanan meningkat kepada 13.3 peratus pada 2019 daripada 9.7 peratus pada 2018, penggunaan industri secara amnya kekal rendah (2022). Nasib baik, terdapat peningkatan peraturan yang mewajibkan dasar pendedahan. Pada tahun 2020, kerajaan AS meluluskan Akta Peningkatan Keselamatan Siber Internet of Things, yang memerlukan penyedia IoT mempunyai dasar pendedahan yang terdedah sebelum menjual kepada agensi persekutuan. 

    Implikasi kelemahan pengguna IoT

    Implikasi yang lebih luas daripada kelemahan IoT pengguna mungkin termasuk: 

    • Kerajaan yang mengawal selia pengeluar IoT supaya mempunyai dasar pendedahan dan ujian yang ketat dan telus.
    • Lebih banyak syarikat teknologi membentuk persatuan untuk bersetuju dengan piawaian biasa dan membangunkan protokol keselamatan siber bersatu yang boleh menjadikan peranti saling beroperasi dan semakin selamat.
    • Telefon pintar dan peranti pengguna peribadi lain yang melaksanakan pengesahan pelbagai faktor lanjutan dan pengenalan biometrik untuk meningkatkan keselamatan siber.
    • Meningkatkan pelaburan dalam keselamatan siber kenderaan elektrik dan autonomi untuk mengelakkan rampasan digital.
    • Lebih banyak serangan mencuri dengar, di mana penjenayah mengambil alih saluran komunikasi yang tidak disulitkan; trend jenayah ini mungkin menyebabkan lebih ramai pengguna memilih apl pemesejan yang disulitkan (EMA).
    • Lebih banyak insiden serangan kejuruteraan sosial yang mengambil kesempatan daripada perlindungan kata laluan yang lemah, terutamanya dalam kalangan pengguna peranti lama.

    Soalan untuk diulas

    • Bagaimanakah anda memastikan peranti IoT anda dilindungi dengan baik?
    • Apakah cara lain pengguna boleh meningkatkan keselamatan peranti IoT mereka?

    Rujukan wawasan

    Pautan popular dan institusi berikut telah dirujuk untuk cerapan ini: