Крупнейшие угрозы безопасности IoT… и что с ними делать
Всем в технологической отрасли ясно, что Интернет вещей (IoT) сталкивается с серьезными проблемами безопасности. Теперь даже те, кто не особенно разбирается в технологиях, знают, что в этом отношении необходимо проделать определенную работу.
Какие именно самые большие угрозы безопасности исходят от устройств IoT? И еще более важный вопрос, что мы можем с этим поделать?
Что такое Интернет вещей?
Это довольно легко объяснить, если вы еще не уверены. По сути, это просто умные устройства. Это может быть что-то невероятно полезное, например, имплант для контроля работы сердца, удобное, как умный термометр или холодильник, или просто необычное, например, зубная щетка, которая фотографирует ваши зубы, или вилка, которая вибрирует, когда вы едите слишком быстро.
Каковы самые большие угрозы безопасности для IoT?
Компании (или потребителю) просто наплевать
Компьютеры и интернет-приложения имеют регулярные исправления. На самом деле настолько регулярно, что многих потребителей раздражает постоянная необходимость устанавливать обновление или перезагружать компьютер. Однако это делается не просто так.
Регулярные исправления необходимы, чтобы не отставать от уязвимостей, которые обнаруживаются либо самой компанией, либо злонамеренными внешними силами. Из-за этой очевидной необходимости многие вирусы, с которыми сталкиваются повседневные потребители, возникают по их собственной вине (например, загрузка вредоносных файлов или фишинг).
Однако такого же понимания необходимости обновлений на рынке IoT еще не было. Из-за отсутствия регулярных исправлений и обновлений устройства IoT могут стать более опасными, чем дольше они у вас есть.
Кроме того, сегодня многие устройства IoT производятся опытными поставщиками оборудования, у которых недостаточно опыта работы с программным обеспечением и безопасностью, чтобы создать продукт, защищающий от атак.
Что делать?
Важно, чтобы эти производители аппаратного обеспечения осознавали риски, связанные с IoT, и принимали надлежащие меры предосторожности.
Конечно, некоторые компании действительно предлагают регулярные обновления для своих интеллектуальных продуктов. Однако что делать, если потребитель не понимает необходимости регулярного обновления информации о таких вещах, как зубная щетка, и отказывается от нее?
В то время как компании начинают все больше инвестировать в важность безопасности устройств IoT, образование среди населения развивается еще медленнее. Не только компании, производящие эти продукты, должны больше инвестировать в свою безопасность, но и потребители.
Конечно, всегда есть возможность добавить автоматические обновления. Даже если некоторые пользователи решат отказаться, это, скорее всего, повысит безопасность в целом.
Хотя было бы неплохо, если бы потребители заранее исследовали и покупали только те продукты, которые, как они знали, будут иметь регулярные исправления от признанной компании, это вряд ли произойдет в больших масштабах. Таким образом, компании, скорее всего, должны предоставлять регулярные автоматические исправления для своих устройств IoT.
Больше устройств для атаки
Похоже, что реальная опасность, которую может вызвать большое количество незащищенных IoT-устройств, привлекла больше внимания во время DDoS-атаки Dyn в октябре 2016 года. Хакеры смогли использовать интеллектуальные камеры, чтобы повлиять на многих крупных поставщиков услуг в Интернете, такие как Нетфликс и Реддит.
По мере того, как на рынке появляется все больше устройств, возрастает страх перед еще более крупной DDoS-атакой. Как сообщает Network World, Ор Кац из Akamai (один из поставщиков услуг, который помог смягчить первую из крупных атак IoTDDoS, связанных с вредоносным ПО Mirai) заявил: «Давным-давно Интернет вещей давал невообразимые перспективы. Затем пришла Мирай… и все связанные с ней атаки, и внезапно обещание стало больше похоже на угрозу.
Даже если потребители не будут целенаправленно избегать обновлений, рассылаемых активными компаниями, в ближайшем будущем в обычном доме может оказаться слишком много устройств, чтобы помнить об обновлении каждого из них.
Конечно, идея удаленного входа в умный автомобиль, чтобы заставить его подчиняться прихоти хакера, пугает потребителей, заставляя их осознать необходимость усиленной безопасности. Однако, как мы видели, даже такие, казалось бы, неважные устройства, как камеры Интернета вещей, должны иметь не меньший уровень безопасности.
Что делать?
Проблема здесь по-прежнему заключается в том, чтобы заставить потребителей и производителей продуктов IoT понять, что первоначальная безопасность и регулярные исправления не подлежат обсуждению, даже в отношении тех продуктов, которые вы, возможно, не считаете важными, таких как ваш умный холодильник или зубная щетка.
Хакеры — не самая страшная возможность
Хотите верьте, хотите нет, но корпорации не всегда заботятся о ваших интересах. Это особенно привлекло внимание многих людей в последнее время из-за того, что Vizio согласилась заплатить 2,2 миллиона долларов за обвинения в том, что она шпионила за своими клиентами с помощью 11 миллионов смарт-телевизоров.
Эта компания тайно собирала данные о местоположении, демографии и привычках просмотра своих пользователей. Почему? Чтобы продать данные, конечно. Корпорации продают больше данных своих пользователей, чем когда-либо прежде.
Вместо того, чтобы тайно шпионить за своими потребителями, некоторые компании открыто используют эту личную информацию. Например, многие компании, такие как BP и Appirio, дали своим сотрудникам FitBits для контроля за своим здоровьем. Благодаря этой информации они смогли получить более низкие ставки медицинского страхования.
Фактически, Appirio удалось сэкономить 280 000 долларов, предоставив FitBit своим 400 сотрудникам. Хотя поощрять людей вести более здоровый образ жизни — это здорово, этические проблемы очевидны. Работников следует нанимать и удерживать из-за их уровня квалификации, а не из-за суммы, которую они могут сэкономить своим работодателям на медицинском обслуживании.
Кроме того, сотрудники, участвующие в этой программе, могут иметь ограниченные права на то, как в дальнейшем будут использоваться их медицинские данные. Например, некоторые компании, такие как Radio Shack, «пытались отправить или даже продать собранные данные другим компаниям», по словам директора по информационным технологиям.
Что делать?
Хотя не существует определенной защиты от кражи данных пользователей, учитывая, что Vizio тайно записывает информацию о своих пользователях, устройства часто поставляются с контрактом, в котором вы должны согласиться разрешить им продавать ваши данные.
Для пользователей, которые беспокоятся о своей личной конфиденциальности, важно не просто пропустить договор, а действительно прочитать его. Таким образом, пользователи могут не покупать продукты, которые хранят и продают их личную информацию.
Даже если компании не продают ваши данные, не забывайте, что они часто хранят их. Возьмем, к примеру, Amazon Alexa, которую разыскивали в качестве улики в суде по делу об убийстве. К счастью, Amazon не предоставит информацию «без законного и обязывающего законного требования, должным образом удовлетворенного». Тем не менее, важно помнить о том, что многие компании хранят вашу информацию при рассмотрении вопросов безопасности IoT.