Вразливості споживачів IoT: коли взаємозв’язок означає спільні ризики

• Автор:
• ім'я автора

  Quantumrun Foresight
• Липень 5, 2023

Основні моменти

Незважаючи на те, що індустрія Інтернету речей (IoT) продовжує впроваджувати інновації, вона бореться з серйозними проблемами кібербезпеки через те, що споживачі нехтують оновленням паролів пристроїв за умовчанням, а виробники запроваджують неперевірені функції. Ці проблеми ускладнюються відсутністю публічного розкриття вразливостей і відсутністю у компаній чіткого плану їх вирішення. Незважаючи на певне використання угод про нерозголошення, програм винагороди за помилки та скоординованого розкриття вразливостей (CVD) як стратегії управління ризиками, впровадження політики розкриття вразливостей у всій галузі залишається низьким. 

Контекст уразливостей споживача IoT

Хоча такі пристрої, як домашні помічники та розумні камери безпеки, мають переваги, індустрії Інтернету речей ще потрібно пройти довгий шлях щодо кібербезпеки. Незважаючи на прогрес у дизайні та інфраструктурі, ці пристрої залишаються вразливими до кібератак. Ця проблема ще більше ускладнюється тим фактом, що багато споживачів не знають найкращих практик для оновлення операційних систем своїх пристроїв. За даними журналу IoT Magazine, 15 відсотків усіх власників пристроїв IoT не змінюють паролі за замовчуванням, а це означає, що хакери можуть отримати доступ до 10 відсотків усіх пов’язаних пристроїв лише за п’ятьма комбінаціями імені користувача та пароля.

Інші проблеми безпеки залежать від того, як ці пристрої налаштовано чи обслуговуються. Якщо комп’ютер або програмне забезпечення залишаються незахищеними (наприклад, їх не можна виправити за допомогою нових оновлень безпеки або кінцеві користувачі не можуть змінити пароль за умовчанням), це може легко піддати домашню мережу користувача кібератаці. Ще одна проблема – коли розробник закривається, і ніхто не бере на себе його програмне забезпечення чи платформи. 

Атаки Інтернету речей відрізняються залежно від машини чи інфраструктури. Наприклад, уразливості програмного забезпечення або мікропрограми можуть дозволити хакерам обійти системи безпеки електромобілів (EV). Тим часом деякі виробники IoT часто додають нові функції до своїх пристроїв або інтерфейсів, не ретельно їх тестуючи. Наприклад, щось, здавалося б, просте, як-от зарядний пристрій для електромобілів, можна зламати, щоб зарядити занижену або надмірну, що призведе до фізичних пошкоджень.

Руйнівний вплив

Відповідно до опитування 2020 року, проведеного IoT Security Foundation, однією зі сфер, де виробники IoT недостатньо працювали, було надання публічних відомостей про вразливості. Ключовий спосіб покращити безпеку пристроїв, підключених до IoT, полягає в тому, щоб дослідники могли легко повідомляти виробникам про виявлені ними вразливості. У той же час компанії повинні повідомити, як вони будуть реагувати, коли ці занепокоєння будуть виявлені, і який термін можна очікувати для програмних виправлень або інших виправлень.

Для боротьби з новими загрозами кібербезпеці деякі компанії покладаються на угоди про нерозголошення. Інші залучають дослідників винагородами за помилки (тобто платять за виявлені вразливості). Існують також спеціалізовані служби, які фірми можуть використовувати для керування розкриттям інформації та програмами винагород за помилки. Ще одна техніка управління ризиками — скоординоване розкриття вразливостей (CVD), коли виробник і дослідник працюють разом, щоб усунути проблему, а потім одночасно випускають і виправлення, і звіт про вразливості, щоб зменшити можливу шкоду для користувачів. 

На жаль, деякі компанії не мають плану розкриття інформації. У той час як кількість фірм, які використовують політику розкриття вразливостей, зросла до 13.3 відсотка в 2019 році з 9.7 відсотка в 2018 році, галузь загалом залишалася низькою (2022 рік). На щастя, існує все більше норм, які зобов’язують політику розкриття інформації. У 2020 році уряд США прийняв Закон про покращення кібербезпеки Інтернету речей, який вимагає від постачальників Інтернету речей мати політику розкриття вразливої ​​інформації перед продажем федеральним агентствам. 

Наслідки вразливості споживчого IoT

Більш широкі наслідки вразливості споживачів IoT можуть включати: 

• Уряди, які регулюють виробників Інтернету речей, повинні мати політику розкриття інформації та суворе та прозоре тестування.
• Більше технологічних компаній об’єднуються, щоб узгодити спільні стандарти та розробити уніфіковані протоколи кібербезпеки, які можуть зробити пристрої сумісними та безпечнішими.
• Смартфони та інші особисті споживчі пристрої, які впроваджують розширену багатофакторну автентифікацію та біометричну ідентифікацію для підвищення кібербезпеки.
• Збільшення інвестицій у кібербезпеку електричних і автономних транспортних засобів, щоб запобігти цифровому викраденню.
• Більше атак підслуховування, коли злочинці захоплюють незашифровані канали зв’язку; ця тенденція злочинності може призвести до того, що більше споживачів віддадуть перевагу програмам із зашифрованим обміном повідомленнями (EMA).
• Більше випадків атак соціальної інженерії, які використовують переваги слабкого захисту паролем, особливо серед користувачів старіших пристроїв.

Питання для коментарів

• Як переконатися, що ваші пристрої IoT добре захищені?
• Якими ще способами споживачі можуть підвищити безпеку своїх пристроїв IoT?