ช่องโหว่ IoT ของผู้บริโภค: เมื่อการเชื่อมต่อระหว่างกันหมายถึงความเสี่ยงที่ใช้ร่วมกัน

• เขียนโดย:
• ชื่อผู้เขียน

  มองการณ์ไกลควอนตัมรัน
• กรกฎาคม 5, 2023

ข้อมูลเชิงลึกไฮไลท์

ในขณะที่อุตสาหกรรม Internet of Things (IoT) ยังคงพัฒนาอย่างต่อเนื่อง แต่ก็กำลังเผชิญกับปัญหาด้านความปลอดภัยทางไซเบอร์ที่สำคัญ เนื่องจากผู้บริโภคละเลยที่จะอัปเดตรหัสผ่านอุปกรณ์เริ่มต้นและผู้ผลิตแนะนำคุณสมบัติที่ยังไม่ผ่านการทดสอบ ความท้าทายเหล่านี้ประกอบขึ้นด้วยการขาดการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ และบริษัทต่างๆ ไม่มีแผนชัดเจนในการจัดการกับปัญหาเหล่านี้ แม้ว่ามีการใช้ข้อตกลงไม่เปิดเผยข้อมูล โปรแกรม Bug Bounty และ Coordinated Vulnerability Disclosure (CVD) เป็นกลยุทธ์การจัดการความเสี่ยง แต่การนำนโยบายการเปิดเผยช่องโหว่ไปปรับใช้ทั่วทั้งอุตสาหกรรมยังคงอยู่ในระดับต่ำ 

บริบทช่องโหว่ IoT ของผู้บริโภค

แม้ว่าอุปกรณ์ต่างๆ เช่น ผู้ช่วยในบ้านและกล้องรักษาความปลอดภัยอัจฉริยะจะมีข้อได้เปรียบ แต่อุตสาหกรรม IoT ยังคงมีแนวทางอีกยาวไกลในแง่ของความปลอดภัยทางไซเบอร์ แม้จะมีความก้าวหน้าในด้านการออกแบบและโครงสร้างพื้นฐาน แต่อุปกรณ์เหล่านี้ยังคงเสี่ยงต่อการโจมตีทางไซเบอร์ ปัญหานี้ยังประกอบขึ้นอีกจากการที่ผู้บริโภคจำนวนมากไม่ทราบแนวทางปฏิบัติที่ดีที่สุดในการอัพเกรดระบบปฏิบัติการของอุปกรณ์ของตน จากรายงานของนิตยสาร IoT พบว่า 15 เปอร์เซ็นต์ของเจ้าของอุปกรณ์ IoT ทั้งหมดไม่เปลี่ยนรหัสผ่านเริ่มต้น ซึ่งหมายความว่าแฮกเกอร์สามารถเข้าถึง 10 เปอร์เซ็นต์ของอุปกรณ์ที่เกี่ยวข้องทั้งหมดโดยใช้ชื่อผู้ใช้และรหัสผ่านเพียง XNUMX ชุดเท่านั้น

ปัญหาด้านความปลอดภัยอื่นๆ มีรากฐานมาจากวิธีการตั้งค่าหรือบำรุงรักษาอุปกรณ์เหล่านี้ หากเครื่องหรือซอฟต์แวร์ไม่มีความปลอดภัย เช่น ไม่สามารถแพตช์ด้วยการอัปเดตความปลอดภัยใหม่ได้ หรือผู้ใช้ปลายทางไม่สามารถเปลี่ยนรหัสผ่านเริ่มต้นได้ อาจทำให้เครือข่ายภายในบ้านของผู้บริโภคถูกโจมตีทางไซเบอร์ได้อย่างง่ายดาย ความท้าทายอีกประการหนึ่งคือเมื่อนักพัฒนาปิดตัวลง และไม่มีใครเข้าครอบครองซอฟต์แวร์หรือแพลตฟอร์มของตน 

การโจมตีทางอินเทอร์เน็ตของสรรพสิ่งแตกต่างกันไป ขึ้นอยู่กับเครื่องหรือโครงสร้างพื้นฐาน ตัวอย่างเช่น ช่องโหว่ด้านซอฟต์แวร์หรือเฟิร์มแวร์อาจทำให้แฮกเกอร์สามารถเลี่ยงระบบรักษาความปลอดภัยของยานพาหนะไฟฟ้า (EV) ได้ ในขณะเดียวกัน ผู้ผลิต IoT บางรายมักจะเพิ่มคุณสมบัติใหม่ให้กับอุปกรณ์หรืออินเทอร์เฟซของตนโดยไม่ได้ทดสอบอย่างละเอียด ตัวอย่างเช่น สิ่งที่ดูเหมือนง่าย เช่น ที่ชาร์จ EV อาจถูกแฮ็กจนชาร์จน้อยไปหรือเกินจนเกินไป ซึ่งนำไปสู่ความเสียหายทางกายภาพ

ผลกระทบก่อกวน

จากการสำรวจในปี 2020 ที่จัดทำโดย IoT Security Foundation หนึ่งในประเด็นที่ผู้ผลิต IoT ยังดำเนินการไม่เพียงพอคือการเปิดเผยช่องโหว่ต่อสาธารณะ วิธีสำคัญในการปรับปรุงความปลอดภัยของอุปกรณ์ที่เชื่อมต่อกับ IoT คือทำให้นักวิจัยรายงานช่องโหว่ที่พบโดยตรงต่อผู้ผลิตได้อย่างง่ายดาย ในเวลาเดียวกัน บริษัทต่างๆ จำเป็นต้องสื่อสารว่าพวกเขาจะตอบสนองอย่างไรเมื่อมีการระบุข้อกังวลเหล่านี้แล้ว และกรอบเวลาใดที่สามารถคาดหวังได้สำหรับแพตช์ซอฟต์แวร์หรือการแก้ไขอื่นๆ

เพื่อต่อสู้กับภัยคุกคามความปลอดภัยทางไซเบอร์ที่เกิดขึ้น ธุรกิจบางแห่งอาศัยข้อตกลงไม่เปิดเผยข้อมูล คนอื่นๆ ล่อลวงนักวิจัยด้วยค่าหัวบั๊ก (เช่น จ่ายเงินสำหรับช่องโหว่ที่ค้นพบ) นอกจากนี้ยังมีบริการพิเศษที่บริษัทต่างๆ สามารถเก็บไว้เพื่อจัดการการเปิดเผยข้อมูลและโปรแกรมรางวัลข้อบกพร่อง อีกเทคนิคหนึ่งในการจัดการความเสี่ยงคือ Coordinated Vulnerability Disclosure (CVD) ซึ่งผู้ผลิตและนักวิจัยทำงานร่วมกันเพื่อแก้ไขปัญหา จากนั้นจึงเผยแพร่ทั้งรายงานการแก้ไขและช่องโหว่พร้อมกันเพื่อลดความเสียหายที่อาจเกิดขึ้นกับผู้ใช้ 

น่าเสียดายที่บางบริษัทไม่มีแผนในการจัดการกับการเปิดเผยข้อมูล แม้ว่าจำนวนบริษัทที่มีนโยบายการเปิดเผยข้อมูลช่องโหว่เพิ่มขึ้นเป็นร้อยละ 13.3 ในปี 2019 จากร้อยละ 9.7 ในปี 2018 แต่การยอมรับในอุตสาหกรรมยังคงต่ำโดยทั่วไป (ปี 2022) โชคดีที่มีกฎระเบียบที่บังคับใช้นโยบายการเปิดเผยข้อมูลเพิ่มมากขึ้น ในปี 2020 รัฐบาลสหรัฐฯ ได้ผ่านกฎหมายปรับปรุงความปลอดภัยทางไซเบอร์ทางอินเทอร์เน็ตของสรรพสิ่ง (Internet of Things Cybersecurity Improvement Act) ซึ่งกำหนดให้ผู้ให้บริการ IoT ต้องมีนโยบายการเปิดเผยข้อมูลที่มีช่องโหว่ก่อนที่จะขายให้กับหน่วยงานรัฐบาลกลาง 

ผลกระทบของช่องโหว่ IoT ของผู้บริโภค

ผลกระทบที่กว้างขึ้นของช่องโหว่ IoT สำหรับผู้บริโภคอาจรวมถึง: 

• รัฐบาลที่ควบคุมผู้ผลิต IoT ให้มีนโยบายการเปิดเผยข้อมูลและการทดสอบที่เข้มงวดและโปร่งใส
• บริษัทเทคโนโลยีจำนวนมากขึ้นรวมตัวกันเพื่อยอมรับมาตรฐานทั่วไป และพัฒนาโปรโตคอลความปลอดภัยทางไซเบอร์แบบครบวงจรที่สามารถทำให้อุปกรณ์ทำงานร่วมกันได้และปลอดภัยมากขึ้น
• สมาร์ทโฟนและอุปกรณ์ผู้บริโภคส่วนบุคคลอื่นๆ ที่ใช้การรับรองความถูกต้องแบบหลายปัจจัยขั้นสูงและการระบุตัวตนแบบไบโอเมตริกเพื่อเพิ่มความปลอดภัยทางไซเบอร์
• เพิ่มการลงทุนในระบบรักษาความปลอดภัยทางไซเบอร์ของยานยนต์ไฟฟ้าและไร้คนขับเพื่อป้องกันการจี้ทางดิจิทัล
• การโจมตีแบบดักฟังมากขึ้น โดยที่อาชญากรเข้าควบคุมช่องทางการสื่อสารที่ไม่ได้เข้ารหัส แนวโน้มอาชญากรรมนี้อาจส่งผลให้ผู้บริโภคเลือกใช้แอปส่งข้อความที่เข้ารหัส (EMA) มากขึ้น
• เหตุการณ์การโจมตีทางวิศวกรรมสังคมที่ใช้ประโยชน์จากการป้องกันรหัสผ่านที่ไม่รัดกุมมากขึ้น โดยเฉพาะในหมู่ผู้ใช้อุปกรณ์รุ่นเก่า

คำถามที่จะแสดงความคิดเห็นเกี่ยวกับ

• คุณจะแน่ใจได้อย่างไรว่าอุปกรณ์ IoT ของคุณได้รับการปกป้องอย่างดี
• ผู้บริโภคสามารถเพิ่มความปลอดภัยให้กับอุปกรณ์ IoT ของตนด้วยวิธีอื่นใดได้อีกบ้าง