Це наш точний підручник, щоб посилити захист від проблем із безпекою Інтернету речей.
Інтернет речей може легко стати одним із наступних кращих.
Але ви б не повірили, якби я сказав вам, що прогнозована кількість пристроїв IoT у 2030 році майже втричі перевищить кількість людей, які населяють Землю.
Іншими словами, це три пристрої IoT на людину. Це багато пристроїв і ще більше Інтернету.
А Інтернет, намагаючись полегшити наше життя, приносить із собою багато вразливостей. Отже, реалізація IoT без усунення лазівок у безпеці може бути незворотною ідіотичністю.
Але давайте копнемо глибше і спочатку обговоримо…
Що таке IoT (Інтернет речей)?
Ці речі співпрацюють через Інтернет.
Типовим прикладом є Tesla, а краще група, яка щогодини обмінюється інформацією та робить автопілот безпечнішим.
Простіший екземпляр – розумний годинник. Він записує дані вашого тіла та надсилає їх на смартфон, щоб перевірити ваші життєво важливі показники, наприклад частоту пульсу, години сну, кроки тощо.
Amazon Echo (або будь-яке обладнання для розумного дому) також кваліфікуватиметься як пристрій IoT.
Зрештою, IoT — це система пристроїв, які електронним способом передають інформацію один одному.
І поступово ми побачимо, як багато з них контролюють найважливіші аспекти нашого життя. Вони матимуть важливе слово щодо наших будинків, офісів, автомобілів, здоров’я тощо.
Отже, надзвичайно важливо зміцнити огорожі, щоб зберегти безпеку та дані конфіденційними.
Все ще не переконав!
Що ж, подивіться на ці тривожні події, які розірвали будь-яке помилкове відчуття безпеки в спільноті Інтернету речей.
Один із таких випадків, про який повідомив користувач Reddit, Діо-В:
Коли я завантажую камеру Xiaomi у свій домашній центр Google, я отримую кадри з домівок інших людей!
Ще один прикрий випадок, як згадує в Саманта Вестморленд:
Термостат продовжував підніматися — і з камери на кухні почав говорити голос — а потім грала вульгарна музика. «Тож я від’єднав його від мережі та повернув до стелі».
Справа не в тому, щоб вас відлякати. Але ці проблеми, якими б великими вони не здавалися, є лише верхівкою айсберга.
Отже, IoT — це область, яка потребує глибокого усунення несправностей і ремонту перед будь-яким широким впровадженням.
Лазівки безпеки в пристроях IoT
Подальші розділи висвітлять деякі сфери, які повинні хвилювати користувачів і виробників.
Слабкі паролі
Це слабкі коди доступу за замовчуванням на пристроях IoT, які зрештою полегшили найбільша DDoS атака 21 жовтня 2016 року. Це привело до збою Amazon Web Services та його клієнтів, таких як Netflix, Twitter, Airbnb тощо.
Тож паролі за умовчанням, як-от Admin, 12345, є ворогами вашої цифрової безпеки. Використання надійних паролів, запропонованих менеджерами паролів, є першим кроком для запобігання зловмисникам.
Другий — використання двофакторної автентифікації (2FA). І це набагато краще, якщо ви використовуєте апаратну автентифікацію, як Yubikey.
Без шифрування
Інтернет речей грає з конфіденційними даними. І про 90% даних передається без будь-якого захисту.
Це величезний збій у безпеці, про який виробники повинні негайно подбати. Користувачі, зі свого боку, можуть перевірити політику шифрування свого пристрою.
Оскільки інсталяція антивірусного або подібного програмного забезпечення може бути складною через низьку потужність процесора та проблеми з сумісністю, використання VPN може виявитися рішенням. Простіше кажучи, VPN захищає вашу адресу Інтернет-протоколу (IP) і шифрує ваші дані.
Нерегулярний цикл оновлення
Кожен виробник відповідає за забезпечення належного циклу оновлення своїх пристроїв. Пристрої IoT, на яких відсутні засоби безпеки та оновлення мікропрограми, більш уразливі для хакерів, які знаходять нові помилки.
Знову ж таки, перед покупкою користувачі повинні перевірити історію оновлень свого виробника.
І користувач не може нічого зробити, окрім як уникати бренду з поганою репутацією оновлення.
Крихка програма
Розробники повинні вбудовувати пристрої IoT зі спеціально розробленими програмами. Будь-яке модифіковане програмне забезпечення може містити застарілі протоколи безпеки, що ставить під загрозу безпеку пристрою IoT.
А зловмисник може скомпрометувати слабку програму IoT для стеження та здійснення атак по всій мережі.
Неправильний менеджмент
У цьому розділі йдеться про центральну консоль керування для всіх пристроїв IoT у системі.
За відсутності уніфікованої системи управління легше неправильно керувати пристроями IoT, особливо якщо в мережі їх багато.
Ці платформи повинні відстежувати життєво важливу статистику для всіх пристроїв IoT, включаючи сповіщення безпеки, оновлення мікропрограми та загальний моніторинг ризиків в одному місці.
Ізоляція мережі
Пристрої IoT часто беруть участь у мережі, відкриваючи весь діапазон пристроїв на борту. Отже, пристрій IoT має використовувати окремий мережевий тунель.
Це завадить зловмиснику отримати вигоду від мережевих ресурсів і забезпечить ефективний моніторинг мережевого трафіку IoT.
Зрештою, це збереже всю мережу незмінною, якщо один пристрій буде зламано.
Фізична безпека
Багато пристроїв IoT, наприклад камери безпеки, працюють віддалено. У такому випадку фізично атакувати пристрій стає надзвичайно легко.
Крім того, ним можна керувати та втручатися зловмисними способами лише для того, щоб порушити саму мету інсталяції. Наприклад, правопорушник може вийняти картку пам’яті з віддалено встановленої камери безпеки та отримати доступ (або змінити) дані.
Хоча важко повністю пом’якшити цю проблему, періодичні перевірки, безумовно, допоможуть.
Для вдосконаленого обладнання можна відзначити відносне розташування під час встановлення. Крім того, є датчики для виявлення та контролю будь-якого відхилення мікрометра від вихідного положення.
Висновок
IoT, безсумнівно, корисний, і ми не можемо викинути їх усі, поки вони не стануть надійними.
Як правило, це обладнання досить безпечне на момент покупки. Але поступово вони починають пропускати оновлення або стають жертвами неправильного керування.
Як користувачі, ми маємо бути уважними та адаптуватися до найкращих практик керування будь-яким пристроєм IoT. Крім того, намагайтеся при покупці пам’ятати про досвід виробника.
Крім того, ознайомтеся з нашим поглядом на те, як контролювати порушення персональних даних.