Kaikista eduistaan huolimatta IoT -laitteita ei ole suunniteltu turvallisuutta ajatellen. Tämä voi johtaa valtaviin ongelmiin.
Esineiden internet (IoT) on tuonut monia etuja. Se on myös muuttanut tapaa, jolla yrityksiä ja IT -riskejä hallitaan. Viime vuosina on ilmestynyt raportteja kaapatuista kameroista, hakkeroiduista lääkinnällisistä laitteista ja vaarantuneista teollisuuden ohjausjärjestelmistä. Ongelma vain pahenee, kun 5G tulee valtavirtaan ja sulautetut IoT -laitteet yleistyvät.
IoT lisää uuden suojauskerroksen olemassa oleviin suojauksiin. Tämä tekee siitä niin vaikean. Koska IoT koskettaa mahdollisesti kaikkea yrityksen sisällä - ja ulospäin kumppaneille ja toimitusketjuille - se sisältää laiteohjelmiston, käyttöjärjestelmät, TCP/IP -pinot, verkon suunnittelun, tietoturvatyökalut ja paljon muuta.
Merritt Maxim on Forresterin varapresidentti ja tutkimusjohtaja. "Tämän laajan ekosysteemin haavoittuvuudet on helpompi sivuuttaa", hän sanoo.
Tämä on vakava ongelma. Kaikkien verkon IoT -laitteiden tunnistaminen voi olla erittäin vaikeaa. Tämä ei ole loppu.
Monia IoT -laitteita ei ole suunniteltu suojaamaan. "Ihmiset, jotka ottavat käyttöön ja asentavat IoT -järjestelmiä, eivät aina ymmärrä tietoturvaa erinomaisesti. Useiden eri valmistajien laitteiden lisääminen lisää monimutkaisuutta", Joe Nocera, PwC: n Cyber and Privacy Innovation Institute -johtaja.
Poissa hallinnasta
Jokainen keskustelu IoT -turvallisuudesta alkaa yksinkertaisella tosiasialla: esineiden internet on turvallisuuden kannalta olennaisesti erilainen kuin perinteinen IT. Monilla IoT -laitteilla ei ole käyttöliittymää, joten hyökkäykset suoritetaan usein suoraan laitteella tai laitteen kautta päästäkseen yritysverkkoon. Maxim huomauttaa myös, että hyökkäyksillä voi olla erilainen dynamiikka kuin ransomware- tai muilla hyökkäyksillä.
Hän sanoo: "Motivaatio on usein laajemmalle häiriölle."
Itse asiassa hyökkäys voi aiheuttaa laitteita, joita ei voida korjata, tai liiketoiminnan häiriöitä, jotka voivat olla taloudellisesti tai poliittisesti motivoituneita. Esimerkiksi helmikuussa hakkeri rikkoi Floridan vedenkäsittelylaitosta teollisen valvontajärjestelmän kautta ja yritti peukaloida veden laatua. Vuonna 2018 kybervarkaat hakkerisivat uhkapelikasinon Isossa-Britanniassa aulassa sijaitsevassa akvaariossa olevan Internet-yhteyden sisältävän lämpömittarin kautta. Varkaat varastivat kasinon asiakastiedot.
Valmistajat luovat usein omat laiteohjelmistonsa, protokollansa ja suunnittelustandardinsa. He eivät aina tee hyvää työtä järjestelmien ylläpidossa ja korjaamisessa. Monet IoT -laitteet ovat riippuvaisia vanhemmista Windows- ja Linux -versioista. IoT tuo lisää päänsärkyä pöydälle: Teolliset ohjausjärjestelmät ja koneet, joita ei ollut tarkoitettu liitettäväksi maailmaan, ovat nyt osa.
Suojele itseäsi
On huomattavaa, että 74% Ponemon Instituutin viime kesäkuussa haastatelluista yrityksistä sanoi, että IoT: n riskienhallintaohjelmansa eivät kyenneet pysymään tahdissa IoT -laitteiden kaikkialla käytön aiheuttamien riskien kanssa.
PwC: n Nocera toteaa, että verkossa toimivien IoT -laitteiden ja niiden tietojen tunteminen on ensimmäinen askel vahvan suojan rakentamisessa.
Hän sanoo: "Monet yritykset eivät tiedä."
Tätä vaikeuttaa se, että jotkut valmistajat käyttävät epäselviä nimiä tai koodeja, jotka eivät tunnista laitteitaan selvästi. Nocera ehdottaa, että annat vastuun ryhmälle ja teet inventaarion mahdollisten epäonnistumispisteiden ja riskien tunnistamiseksi. Joskus organisaatio voi tarvita erikoistunutta omaisuudenhallinta- tai etsintäratkaisua.
On erittäin tärkeää luoda näkyvyys ja hallita koko esineiden internetin maisemaa.
Nocera sanoo: "Organisaation pitäisi pystyä kytkemään päälle ja pois päältä erilaisia laitteita ja konfiguroimaan ne sen mukaisesti."
Oikeilla työkaluilla on mahdollista varmistaa, että vain tarvittavat palvelut ovat käynnissä laitteessa ja että kaikki muut laitteet on kytketty pois päältä. Toinen ongelma, jonka kokoonpanonhallintaosoitteet varmistavat, että laitteet eivät käytä oletussalasanoja tai tehdasasetuksia.
Ulf Mattsson (Protegrityn turvallisuusstrategia) sanoo, että salasanat on vaihdettava säännöllisesti. Hän suosittelee käyttämään tunnuksia, tietojen anonymisointia ja monivaiheista todennusta (MFA) sekä biometristä todennusta. Tietojen salaus liikkeessä ja levossa, seuraavan sukupolven palomuurit ja tunkeutumisenestojärjestelmät (IPS) ovat kaikki välttämättömiä. Hän sanoo, että on tärkeää pitää nämä järjestelmät ajan tasalla ja korjata.
Nocera toteaa myös, että verkon segmentointi on toinen hyödyllinen työkalu. On tärkeää eristää tärkeät järjestelmät, kuten teolliset ohjaimet, yrityssovellukset ja muut tärkeät tiedot, jotta hakkerit eivät voi hakata verkkoihin IoT -laitteiden kautta.
Hän sanoo esimerkiksi, että "jos olet varustamo ja logistiikkayritys, ehkä kalustosi hallintaan käytettävien IoT -laitteiden ei tarvitse puhua IoT -laitteille ja muille varastossa käytettäville järjestelmille". laitteesi ovat vaarassa, menetät vain yhden varaston, etkä kaikkia varastoja.
IT -pelaaminen on turvallista
On olemassa monia muita strategioita, joilla voidaan rakentaa joustavampi IoT -infrastruktuuri. Näihin strategioihin kuuluu pilvipalvelutietojen lukitseminen, joita voidaan käyttää laitteiden määrittämiseen uudelleen. Poistetaan käytöstä ominaisuudet, joita ei käytetä. IoT -infrastruktuurin säännöllinen auditointi ja tarpeettomien laitteiden poistaminen käytöstä. Pidä haittaohjelmasuojaus ajan tasalla ja vaihda vähemmän suojatut laitteet. Sinun tulisi myös olla tietoinen siitä, miten 5G vaikuttaa IoT -kehykseen.
Maxim sanoo, että on myös viisasta etsiä uudempia IoT -laitteita, jotka käyttävät suojattua piitä ja RoT -teknologiaa. Tämä vähentää todennäköisyyttä, että BIOS- tai käyttöjärjestelmän tasoa voidaan muuttaa. Toinen huomion arvoinen alue on liittimien, sovellusohjelmointirajapintojen (API) käyttö, joka laajentaa ja joskus peittää tietolähteitä ja laitteita.
Haluatko palkata koulutetut kehittäjämme? Hanki ilmainen arvio
Kokonaisvaltainen lähestymistapa, joka käyttää erilaisia työkaluja ja strategioita laitteiden ja tietojen suojaamiseen, on paras puolustus. Maxim toteaa, että mikä tahansa IoT -laite tai -järjestelmä on tarkistettava yhtä tiukasti kuin yrityssovellukset ja että sen käyttöönoton jälkeen on sovellettava tiukkoja turvallisuusstandardeja.
Hän lisää, että esineiden internet aiheuttaa uusia ja joskus vakavampia riskejä, jotka voivat häiritä yrityksiä tai aiheuttaa kuoleman.