Ranljivosti potrošniškega interneta stvari: Ko medsebojna povezljivost pomeni deljena tveganja
Ranljivosti potrošniškega interneta stvari: Ko medsebojna povezljivost pomeni deljena tveganja
Ranljivosti potrošniškega interneta stvari: Ko medsebojna povezljivost pomeni deljena tveganja
- Avtor:
- Julij 5, 2023
Poudarki vpogleda
Medtem ko industrija interneta stvari (IoT) še naprej uvaja inovacije, se spopada z znatnimi težavami kibernetske varnosti, ker potrošniki zanemarjajo posodobitev privzetih gesel za naprave, proizvajalci pa uvajajo nepreizkušene funkcije. Te izzive še povečuje pomanjkanje javnih razkritij ranljivosti in podjetja, ki nimajo jasnega načrta za njihovo obravnavo. Čeprav se sporazumi o nerazkritju podatkov, programi za nagrado za hrošče in usklajeno razkrivanje ranljivosti (CVD) uporabljajo kot strategije za obvladovanje tveganja, je sprejemanje politik razkrivanja ranljivosti v celotni industriji še vedno nizko.
Kontekst ranljivosti potrošniškega interneta stvari
Čeprav imajo naprave, kot so domači pomočniki in pametne varnostne kamere, prednosti, mora industrija interneta stvari še veliko narediti v smislu kibernetske varnosti. Kljub napredku v oblikovanju in infrastrukturi so te naprave še vedno ranljive za kibernetske napade. To težavo dodatno otežuje dejstvo, da številni potrošniki ne poznajo najboljših praks za nadgradnjo operacijskih sistemov svojih naprav. Po podatkih revije IoT Magazine 15 odstotkov vseh lastnikov naprav IoT ne spreminja privzetih gesel, kar pomeni, da lahko hekerji dostopajo do 10 odstotkov vseh povezanih naprav s samo petimi kombinacijami uporabniškega imena in gesla.
Drugi varnostni izzivi izvirajo iz tega, kako so te naprave nastavljene ali vzdrževane. Če stroj ali programska oprema ostane nezaščitena – na primer, če je ni mogoče popraviti z novimi varnostnimi posodobitvami ali končni uporabniki ne morejo spremeniti privzetega gesla –, lahko zlahka izpostavi potrošnikovo domače omrežje kibernetskemu napadu. Drug izziv je, ko se razvijalec zapre in nihče ne prevzame njegove programske opreme ali platform.
Napadi interneta stvari se razlikujejo glede na stroj ali infrastrukturo. Na primer, ranljivosti programske opreme ali vdelane programske opreme lahko hekerjem omogočijo, da obidejo varnostne sisteme električnih vozil (EV). Medtem pa nekateri proizvajalci interneta stvari svojim napravam ali vmesnikom pogosto dodajo nove funkcije, ne da bi jih temeljito preizkusili. Na primer, nekaj navidezno preprostega, kot je polnilnik za električna vozila, je mogoče vdreti v prenizko ali previsoko polnjenje, kar povzroči fizične poškodbe.
Moteč vpliv
Glede na raziskavo iz leta 2020, ki jo je izvedla IoT Security Foundation, je bilo eno od področij, kjer proizvajalci interneta stvari niso storili dovolj, zagotavljanje javnih razkritij ranljivosti. Ključni način za izboljšanje varnosti naprav, povezanih z IoT, je olajšanje raziskovalcem, da ranljivosti, ki jih najdejo, prijavijo neposredno proizvajalcem. Hkrati morajo podjetja sporočiti, kako se bodo odzvala, ko bodo ti pomisleki ugotovljeni, in kakšen časovni okvir je mogoče pričakovati za programske popravke ali druge popravke.
Za boj proti nastajajočim grožnjam kibernetske varnosti se nekatera podjetja zanašajo na pogodbe o nerazkritju podatkov. Drugi pritegnejo raziskovalce z nagradami za hrošče (tj. plačilo za odkrite ranljivosti). Obstajajo tudi specializirane storitve, ki jih lahko podjetja obdržijo za upravljanje razkritij in programov nagrad za napake. Druga tehnika za obvladovanje tveganj je usklajeno razkrivanje ranljivosti (CVD), kjer proizvajalec in raziskovalec sodelujeta pri odpravljanju težave in nato hkrati objavita poročilo o popravku in ranljivosti, da zmanjšata morebitno škodo za uporabnike.
Na žalost nekatera podjetja nimajo načrta za ravnanje z razkritji. Medtem ko se je število podjetij s politiko razkritja ranljivosti povečalo na 13.3 odstotka v letu 2019 z 9.7 odstotka v letu 2018, je sprejetje v industriji na splošno ostalo nizko (2022). Na srečo je vedno več predpisov, ki predpisujejo politike razkritja. Leta 2020 je ameriška vlada sprejela Zakon o izboljšanju kibernetske varnosti interneta stvari, ki od ponudnikov IoT zahteva, da imajo politike razkritja ranljivih informacij, preden prodajo zveznim agencijam.
Posledice ranljivosti potrošniškega interneta stvari
Širše posledice ranljivosti potrošniškega interneta stvari lahko vključujejo:
- Vlade, ki urejajo proizvajalce interneta stvari, da imajo politike razkritja ter stroga in pregledna testiranja.
- Več tehnoloških podjetij se združuje, da se strinjajo s skupnimi standardi in razvijajo poenotene protokole kibernetske varnosti, ki lahko naredijo naprave interoperabilne in vse bolj varne.
- Pametni telefoni in druge osebne potrošniške naprave, ki izvajajo napredno večfaktorsko avtentikacijo in biometrično identifikacijo za izboljšanje kibernetske varnosti.
- Povečane naložbe v kibernetsko varnost električnih in avtonomnih vozil za preprečevanje digitalnih ugrabitev.
- Več napadov s prisluškovanjem, kjer kriminalci prevzamejo nešifrirane komunikacijske kanale; ta kriminalni trend lahko povzroči, da bo več potrošnikov raje uporabljalo aplikacije za šifrirano sporočanje (EMA).
- Več primerov napadov socialnega inženiringa, ki izkoriščajo šibko zaščito z geslom, zlasti med uporabniki starejših naprav.
Vprašanja za komentiranje
- Kako zagotovite, da so vaše naprave IoT dobro zaščitene?
- Na katere druge načine lahko potrošniki povečajo varnost svojih naprav IoT?
Insight reference
Za ta vpogled so bile navedene naslednje priljubljene in institucionalne povezave:
