IoT – Інтернет речей продовжує розширюватися. Цьому сприяє не тільки домашній офіс. Розумне обладнання знаходить дедалі ширше застосування. Але це також збільшує поверхню атаки та ризик. Виробників і користувачів просять забезпечити більшу безпеку.
Небезпеки Інтернету речей стають дедалі різноманітнішими: співробітники все частіше отримують доступ до мережі компанії з дому, водночас частіше користуючись розумними пристроями в приватному порядку. Ця тенденція продовжується: за даними аналітиків BERG Insight, можна очікувати річного зростання в Європі на 20,2 відсотка. Це також збільшує ризики. Телеметрія Bitdefender показала, що 2020 відсотки вразливостей IoT у 23 році були виявлені в сховищі NAS, тоді як 19 відсотків були виявлені в медіаплеєрах, по дев’ять відсотків у смарт-телевізорах та IP-камерах, а по шість відсотків уразливостей потокових пристроїв і приставок було усунено.
Клієнти повинні мати можливість без вагань користуватися своїми пристроями. Забезпечення цього є завданням кількох гравців, включаючи професійні асоціації, органи влади та законодавчу владу. Але в першу чергу затребувані самі виробники і користувачі.
Специфікації для провайдерів: підвищити стандарти безпеки
- Розробка безпечних рішень: ще є місце для вдосконалення, коли мова йде про безпеку додатків Інтернету речей. Навіть прості заходи можуть значно знизити ризики. Небезпека часто виникає через недбалий розвиток і відсутність прозорості. Розробники встановлюють облікові записи користувачів, які вони не документують, і надають стандартні паролі. Користувачі не знають про це, тому вони не змінюють ці налаштування, хоча облікові записи залишаються активними з усіма функціями після запуску. Вони часто наділяються значними правами. Тому кіберзлочинці намагаються виявити такі паролі за замовчуванням і систематично перевіряти програми для відповідних користувачів. З цієї причини виробники повинні вказувати всі облікові записи користувачів, оскільки це єдиний спосіб, у який користувачі можуть призначити їм індивідуальні дані для входу або повністю видалити їх. Існує ще одна лазівка: під час налаштування програми часто надсилають через мережу незахищені дані для входу. Виробники також могли б щось з цим зробити.
- Вимагайте безпечної поведінки: виробники можуть гарантувати, що користувачі будуть більш обережними з власними паролями. Під час налаштування можна вказати, що користувач повинен змінити дані доступу. Таким чином, вони успішно забезпечують більший захист простим способом.
- Продаж оновлень: програмне забезпечення має бути завжди оновленим, особливо з продуктами IoT. Однак користувачам часто надто важко ініціювати оновлення або вони не думають про це. Ви хочете легко користуватися пристроями та програмним забезпеченням, не маючи необхідності мати справу з налаштуваннями. Тому виробники повинні автоматично імпортувати оновлення та позбавляти своїх клієнтів небажаних робочих кроків.
- Використовуйте стандартні операційні системи: бажано використовувати стандартні операційні системи. Дані телеметрії Bitdefender показують, що пропрієтарні операційні системи відповідають за 96 відсотків виявлених недоліків безпеки. Вони використовуються лише в 34 відсотках пристроїв.
Не менш важливою є співпраця між виробником і експертами з безпеки. Так буває часто. На жаль, деякі компанії досі не назвали контактну особу для безпеки. Як наслідок, вразливі місця неможливо усунути так швидко.
Домашні завдання для приватних користувачів і компаній
Лазівки в пристроях Інтернету речей, звіт Bitdefender про загрози клієнтів 2020 (Зображення: Bitdefender).
- Майте на увазі можливі небезпеки: приватні користувачі також можуть стати ціллю кіберзлочинців. Вони часто вважають, що їх власна домашня мережа не цікавить зловмисників. Але вони помиляються. Розкішна квартира може спонукати деяких хакерів керувати цифровою дверною ручкою. І навіть якщо зловмисники насправді не націлені на самих користувачів, вони все одно використовують лазівки у своєму обладнанні, щоб, наприклад, запускати DDoS-атаки через свою мережу. Інші хакери хочуть скористатися можливістю проникнути в корпоративну мережу таким чином - і, можливо, навіть непомітно від користувача, оскільки вони не піддаються прямій атаці.
- Дешеві товари можуть вам дорого коштувати: ті, хто купує дешеві продукти, швидше ризикують. Що стосується безпеки, то жодні бренди часто не оснащені належним чином. Крім того, у них часто немає гарячої лінії. Якщо так, то до нього важко дістатися. Фірмовий пристрій від відомого виробника зазвичай виконує те, що обіцяє, і пропонує кращу підтримку.
- Оновлення власного обладнання IoT: пристрої часто використовуються, поки вони не перестануть працювати. Однак це може бути проблемою, оскільки багато виробників розраховують свої продукти лише на короткий термін служби, а не на тривале використання. Це також може означати, що термін підтримки закінчився, якщо пристрій все ще використовується, або що постачальник навіть повністю зник з ринку.
- Дотримуйтеся гігієни паролів: користувачі повинні швидко змінювати надані паролі. Навіть пізніше ви повинні регулярно змінювати їх або використовувати менеджер паролів. Паролі за замовчуванням не є перешкодою для кіберзлочинців, у них є пошукові системи в Інтернеті, за допомогою яких вони можуть безпосередньо та у великій кількості знаходити пристрої IoT. Яку інформацію про людину мають хакери, можна дізнатися на таких сервісах, як https://dehashed.com дізнатися. Вони пропонують швидкий огляд можливого зламу власних даних для входу, який є недорогим і завжди актуальним.
- Слідкуйте за захистом власних даних: пристрої IoT створені для передачі даних. Якщо ці дані знаходяться на сервері за межами ЄС, до них застосовуються інші, часто більш м’які правила захисту даних. Про це ніколи не слід забувати.
Виробники та користувачі не несуть одноосібної відповідальності за безпеку IoT. Компаніям також було б добре контролювати доступ своїх співробітників до корпоративної мережі, якщо вони працюють віддалено. Якщо ІТ-відділ не може отримати доступ до кінцевих точок, за потреби також можна забезпечити захист на рівні мережі. Подібним чином органи влади та галузеві асоціації більше не можуть ігнорувати необхідність вдосконалення захисту Інтернету речей.
Більше ніж PDF на Bitdefender.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/