Представляємо детальну інструкцію, як посилити захист від загроз безпеки в Інтернеті речей (IoT).
Інтернет речей має потенціал стати однією з провідних технологій майбутнього.
Чи повірили б ви, якби я сказав, що за прогнозами, кількість пристроїв IoT до 2030 року майже втричі перевищить чисельність населення планети?
Іншими словами, це приблизно три пристрої IoT на кожну людину. Це величезна кількість пристроїв, і ще більший обсяг даних.
Інтернет, хоча і покликаний полегшити наше життя, несе з собою численні вразливості. Впровадження IoT без усунення прогалин у безпеці може призвести до серйозних наслідків.
Давайте детальніше розглянемо це питання і почнемо з…
Що таке Інтернет речей (IoT)?
Це концепція, де фізичні пристрої взаємодіють через Інтернет.
Типовим прикладом є автомобілі Tesla, які постійно обмінюються даними для вдосконалення системи автопілота.
Простішим прикладом є розумний годинник, який збирає дані про ваше тіло (серцевий ритм, тривалість сну, кількість кроків тощо) і передає їх на смартфон.
Пристрої Amazon Echo (або будь-які інші пристрої для розумного дому) також належать до категорії IoT.
Отже, IoT — це мережа пристроїв, що обмінюються інформацією в електронній формі.
З часом ми побачимо, як багато з цих пристроїв контролюватимуть ключові аспекти нашого життя, як-от наші оселі, робочі місця, автомобілі та здоров’я.
Тому, надзвичайно важливо вжити заходів для захисту даних і забезпечення їх конфіденційності.
Не переконалися?
Тоді погляньте на ці тривожні випадки, що зруйнували будь-яке відчуття безпеки в сфері IoT.
Один із таких випадків, описаний користувачем Reddit Dio-V:
“Коли я підключаю камеру Xiaomi до Google Home, я бачу відео з домівок інших людей!”
Ще один неприємний інцидент, про який розповіла Саманта Вестморленд:
“Термостат постійно підвищував температуру, а з кухонної камери почав лунати голос, а потім грала вульгарна музика. Я вимкнула його з розетки та віднесла назад до стелі.”
Мета цих прикладів не в тому, щоб налякати, а в тому, щоб показати, що ці проблеми, хоч і можуть здаватися незначними, насправді є лише вершиною айсберга.
Отже, IoT – це сфера, яка потребує серйозних вдосконалень та усунення недоліків перед тим, як вона стане широко поширеною.
Прогалини в безпеці пристроїв IoT
У наступних розділах ми розглянемо деякі проблеми, які повинні турбувати як користувачів, так і виробників.
Слабкі паролі
Саме слабкі стандартні паролі на пристроях IoT стали причиною масштабної DDoS-атаки 21 жовтня 2016 року. Ця атака призвела до збою Amazon Web Services та інших сервісів, таких як Netflix, Twitter, Airbnb тощо.
Стандартні паролі, такі як “Admin” або “12345”, є загрозою вашій цифровій безпеці. Використання надійних паролів, згенерованих менеджерами паролів, – це перший крок до захисту від зловмисників.
Другий крок – використання двофакторної аутентифікації (2FA). Особливо надійним є використання апаратних ключів, таких як Yubikey.
Відсутність шифрування
Пристрої IoT працюють з конфіденційними даними. При цьому, згідно з дослідженнями, понад 90% даних передаються без будь-якого захисту.
Це серйозна проблема безпеки, яку виробники повинні негайно вирішити. Користувачі, зі свого боку, можуть перевірити політику шифрування свого пристрою.
Оскільки встановлення антивірусного програмного забезпечення на пристрої IoT може бути складним через обмежені обчислювальні ресурси, використання VPN може бути хорошим рішенням. VPN захищає вашу IP-адресу та шифрує дані.
Нерегулярні оновлення
Кожен виробник повинен забезпечувати регулярні оновлення своїх пристроїв. Пристрої IoT без оновлень безпеки та мікропрограмного забезпечення є більш вразливими для хакерів, які постійно шукають нові вразливості.
Тому, перед покупкою, користувачам слід перевіряти історію оновлень від виробника.
На жаль, користувач може лише уникати брендів з поганою репутацією в питаннях оновлень.
Вразливе програмне забезпечення
Розробники повинні створювати пристрої IoT зі спеціалізованим програмним забезпеченням. Будь-яке модифіковане ПЗ може містити застарілі протоколи безпеки, ставлячи під загрозу безпеку пристрою.
Зловмисник може скористатися вразливим ПЗ для стеження за користувачем та здійснення атак на всю мережу.
Неправильне управління
Йдеться про наявність центральної консолі управління для всіх пристроїв IoT в системі.
За відсутності уніфікованої системи управління стає легше неправильно керувати пристроями IoT, особливо коли їх у мережі багато.
Такі платформи повинні відстежувати важливу статистику для всіх пристроїв IoT, включаючи сповіщення про безпеку, оновлення програмного забезпечення та загальний моніторинг ризиків, в одному місці.
Ізоляція мережі
Пристрої IoT часто працюють в одній мережі, відкриваючи доступ до всіх інших пристроїв. Тому пристрій IoT повинен використовувати окремий мережевий тунель.
Це запобігатиме зловмисникам отримувати доступ до ресурсів мережі і забезпечить ефективний моніторинг трафіку IoT.
Зрештою, це збереже всю мережу в безпеці, якщо один пристрій буде скомпрометовано.
Фізична безпека
Багато пристроїв IoT, такі як камери безпеки, встановлюються у віддалених місцях. У такому випадку фізична атака на пристрій є досить легкою.
Такими пристроями можна маніпулювати і втручатися в їх роботу, порушуючи їх цільове призначення. Наприклад, злочинець може витягнути картку пам’яті з віддаленої камери безпеки і отримати доступ до (або змінити) дані.
Хоча повністю усунути цю проблему важко, регулярні перевірки, безумовно, допоможуть.
Для складного обладнання можна зафіксувати його точне розташування при встановленні. Також існують датчики, які виявляють та контролюють будь-які відхилення від початкового положення.
Висновок
IoT, безсумнівно, є корисною технологією, і відмовлятися від них, поки вони не стануть повністю безпечними, не варто.
Зазвичай, пристрої є достатньо безпечними на момент покупки. Але з часом вони можуть перестати отримувати оновлення або стати жертвами неправильного управління.
Як користувачі, ми повинні бути уважними та використовувати найкращі практики управління будь-яким пристроєм IoT. Також слід враховувати досвід виробника при покупці пристрою.
Крім того, ознайомтеся з нашою статтею про те, як контролювати порушення персональних даних.