Er gwaethaf eu holl fanteision, ni ddyluniwyd dyfeisiau IoT gyda diogelwch mewn golwg. Gall hyn arwain at broblemau enfawr.
Mae Rhyngrwyd Pethau (IoT) wedi dod â llawer o fuddion. Mae hefyd wedi newid y ffordd y mae busnesau a risg TG yn cael eu rheoli. Dros yr ychydig flynyddoedd diwethaf, mae adroddiadau wedi dod i'r wyneb am gamerâu wedi'u herwgipio, hacio dyfeisiau meddygol, a chyfaddawdu systemau rheoli diwydiannol. Dim ond wrth i 5G ddod yn brif ffrwd a dyfeisiau IoT gwreiddio ddod yn fwy cyffredin y bydd y broblem yn gwaethygu.
Mae'r IoT yn ychwanegu haen arall o ddiogelwch at yr amddiffyniadau presennol. Dyma sy'n ei gwneud mor anodd. Oherwydd bod yr IoT o bosibl yn cyffwrdd â phopeth o fewn menter - ac allan i bartneriaid a chadwyni cyflenwi - mae'n cynnwys cadarnwedd, systemau gweithredu, pentyrrau TCP / IP, dylunio rhwydwaith, offer diogelwch data, a llawer mwy.
Mae Merritt Maxim yn is-lywydd a chyfarwyddwr ymchwil yn Forrester. "Mae'n haws anwybyddu bregusrwydd yr ecosystem eang hon," meddai.
Mae hon yn broblem ddifrifol. Gall fod yn anodd iawn adnabod pob dyfais IoT mewn rhwydwaith. Nid dyma'r diwedd.
Ni ddyluniwyd llawer o ddyfeisiau IoT gyda diogelwch mewn golwg. "Nid oes gan bobl sy'n defnyddio ac yn sefydlu systemau IoT afael rhagorol ar ddiogelwch bob amser. Mae ychwanegu dyfeisiau lluosog gan wneuthurwyr gwahanol yn cynyddu cymhlethdod," Joe Nocera, arweinydd y Sefydliad Arloesi Seiber a Phreifatrwydd yn PwC.
Allan o Reolaethau
Mae pob trafodaeth ar ddiogelwch IoT yn dechrau gyda ffaith syml: Mae Rhyngrwyd Pethau yn sylfaenol wahanol i TG confensiynol o ran diogelwch. Nid oes gan lawer o ddyfeisiau IoT ryngwyneb defnyddiwr felly mae ymosodiadau yn aml yn cael eu cynnal yn uniongyrchol ar y ddyfais neu trwy'r ddyfais i gael mynediad at rwydwaith menter. Mae Maxim hefyd yn tynnu sylw y gall ymosodiadau fod â deinameg wahanol i ransomware neu ymosodiadau eraill.
Meddai, "Mae'r cymhelliant yn aml i darfu ar raddfa fwy."
Mewn gwirionedd, gall ymosodiad achosi dyfeisiau na ellir eu had-dalu neu darfu ar fusnesau a allai fod â chymhelliant ariannol neu wleidyddol. Er enghraifft, Ym mis Chwefror, fe wnaeth haciwr dorri gwaith trin dŵr yn Florida trwy system reoli ddiwydiannol a cheisio ymyrryd ag ansawdd dŵr. Yn ôl yn 2018, fe wnaeth lladron seiber hacio casino gamblo yn y DU trwy thermomedr wedi'i gysylltu â'r Rhyngrwyd mewn acwariwm wedi'i leoli yn y lobi. Cafodd data cwsmeriaid y casino ei ddwyn gan ladron.
Mae gweithgynhyrchwyr yn aml yn creu eu cadarnwedd, eu protocolau a'u safonau dylunio eu hunain. Nid ydynt bob amser yn gwneud gwaith gwych o gynnal a chlytio systemau. Mae llawer o ddyfeisiau IoT yn dibynnu ar fersiynau hŷn o Windows a Linux. Mae'r IoT yn dod â mwy o gur pen i'r bwrdd: Mae systemau rheoli diwydiannol a pheiriannau na fwriadwyd eu cysylltu â'r byd bellach yn rhan.
Amddiffyn eich hun
Yn rhyfeddol, dywedodd 74% o'r cwmnïau a arolygwyd gan Sefydliad Ponemon fis Mehefin diwethaf fod eu rhaglenni rheoli risg IoT yn methu â chadw i fyny â'r risgiau a berir gan y defnydd hollbresennol o ddyfeisiau IoT.
Mae Nocera PwC yn nodi mai adnabod y dyfeisiau IoT sy'n rhedeg ar y rhwydwaith, a pha ddata sydd ganddynt, yw'r cam cyntaf wrth adeiladu amddiffyniad cryf.
Meddai, "Nid yw llawer o gwmnïau'n gwybod."
Gwneir hyn yn anoddach gan y ffaith bod rhai gweithgynhyrchwyr yn defnyddio enwau neu godau aneglur nad ydynt yn nodi eu dyfeisiau yn glir. Mae Nocera yn awgrymu eich bod yn aseinio cyfrifoldeb i grŵp ac yn cynnal rhestr eiddo i nodi pwyntiau a risgiau methu posibl. Weithiau, efallai y bydd angen rheolaeth arbenigol neu ddatrysiad darganfod ar sefydliad.
Mae'n hanfodol sefydlu gwelededd a rheolaeth dros y dirwedd IoT gyfan.
Dywed Nocera, "Dylai sefydliad allu troi a diffodd amrywiol ddyfeisiau a'u ffurfweddu yn unol â hynny."
Mae'n bosibl gyda'r offer cywir i sicrhau mai dim ond gwasanaethau angenrheidiol sy'n rhedeg ar ddyfais a bod pob dyfais arall yn cael ei diffodd. Problem arall y mae cyfeiriadau rheoli cyfluniad yn sicrhau yw nad yw dyfeisiau'n defnyddio cyfrineiriau diofyn na gosodiadau ffatri.
Dywed Ulf Mattsson (prif strategydd diogelwch yn Protegrity) y dylid newid cyfrineiriau yn rheolaidd. Mae'n argymell defnyddio tocynnau, anhysbysu data, a dilysu aml-ffactor (MFA) yn ogystal â dilysu biometreg. Mae amgryptio data ar waith ac wrth orffwys, waliau tân y genhedlaeth nesaf, a systemau atal ymyrraeth (IPS) i gyd yn angenrheidiol. Dywed ei bod yn hanfodol cadw'r systemau hyn yn gyfredol ac yn glytiog.
Mae Nocera hefyd yn nodi bod segmentu rhwydwaith yn offeryn defnyddiol arall. Mae'n bwysig ynysu systemau allweddol fel rheolyddion diwydiannol, cymwysiadau menter, a gwybodaeth feirniadol arall fel na all hacwyr hacio i mewn i rwydweithiau trwy ddyfeisiau IoT.
Dywed, er enghraifft, "os ydych chi'n gwmni cludo ac yn gwmni logisteg, efallai nad oes angen i ddyfeisiau IoT a ddefnyddir i reoli'ch fflyd siarad â dyfais IoT a systemau eraill a ddefnyddir mewn warws," Fel hyn, os o gwbl mae dyfeisiau'n cael eu peryglu, dim ond un warws rydych chi'n ei golli ac nid pob un o'ch warysau.
Mae'n ddiogel chwarae TG
Mae yna lawer o strategaethau eraill y gellir eu defnyddio i adeiladu seilwaith IoT mwy gwydn. Mae'r strategaethau hyn yn cynnwys cloi tystlythyrau cwmwl y gellir eu defnyddio wedyn i ad-drefnu dyfeisiau. Analluogi nodweddion nad ydyn nhw'n cael eu defnyddio. Archwilio seilwaith IoT yn rheolaidd ac ymddeol dyfeisiau unneeded. Cadw amddiffyniad meddalwedd faleisus yn gyfredol ac ailosod dyfeisiau llai diogel. Dylech hefyd fod yn ymwybodol o sut mae 5G yn effeithio ar fframwaith IoT.
Dywed Maxim ei bod hefyd yn ddoeth chwilio am ddyfeisiau IoT mwy newydd sy'n defnyddio technolegau silicon diogel a gwraidd ymddiriedaeth (RoT). Mae hyn yn lleihau'r tebygolrwydd y gellir newid y BIOS neu'r lefel system weithredu. Maes arall sy'n werth ei arsylwi yw'r defnydd cynyddol o gysylltwyr, rhyngwynebau rhaglennu cymwysiadau (APIs), sy'n ymestyn ac weithiau'n cuddio ffynonellau a dyfeisiau data.
Dull cyfannol sy'n defnyddio ystod o offer a strategaethau i sicrhau dyfeisiau a data yw'r amddiffyniad gorau. Mae Maxim yn nodi y dylai unrhyw ddyfais neu system IoT gael yr un adolygiad trwyadl â cheisiadau menter ac y dylent fod yn ddarostyngedig i safonau diogelwch llym ar ôl ei ddefnyddio.
Ychwanegodd fod yr IoT yn peri risgiau newydd ac weithiau mwy difrifol, a allai amharu ar fusnesau neu achosi marwolaeth.