У звіті про безпеку Інтернету речей за 2022 рік ІТ-експерти вимагають складання номенклатури матеріалів (SBOM) для програмного забезпечення пристроїв: засоби промислового контролю, виробництво та розумний дім часто «недостатньо» захищені від хакерів. Експерти вимагають доказів усіх використаних програмних компонентів.
Шампунь, печиво, консервований суп і ліки мають одну спільну рису: перелік усіх інгредієнтів на упаковці та можливість їх відстеження від виробника до виробника окремого інгредієнта. Важливі інтелектуальні промислові засоби керування, інтелектуальні виробничі системи та пристрої, такі як маршрутизатори, мережеві камери, принтери та багато інших, передають своє мікропрограмне забезпечення безпосередньо з операційною системою та програмами – без точного підтвердження компонентів програмного забезпечення, що містяться. Це часто означає величезний ризик атак з боку хакерів і викрадачів даних у компаніях, які використовують ці елементи керування та пристрої.
Що всередині маршрутизаторів, мереж і компанії?
У рамках дослідження «IoT Security Report 2022» 75 відсотків із 318 опитаних спеціалістів і менеджерів ІТ-індустрії виступають за точну перевірку всіх програмних компонентів, так званий «Software Bill of Materials» (SBOM) для усі компоненти, включаючи все включене програмне забезпечення кінцевої точки. «У рамках наших розслідувань за останні кілька років практично всі пристрої, підключені до мережі, більшою чи меншою мірою мають приховані дефекти в мікропрограмі та додатках, тому точний опис програмних компонентів є надзвичайно важливим для ІТ компанії, щоб перевіряти та підтримувати рівень безпеки», – говорить Ян Венденбург, генеральний директор ONEKEY (раніше IoT Inspector). Компанія розробила повністю автоматичний аналіз безпеки та відповідності для програмного забезпечення елементів керування, виробничих систем і інтелектуальних пристроїв і робить його доступним як просту в інтеграції платформу для компаній і виробників обладнання.
Виробники нехтують безпекою
Тому виробники не дуже довіряють захисту пристроїв IoT: 24 відсотки з 318 опитаних вважають це «недостатнім», ще 54 відсотки щонайбільше «частково достатнім». Тому хакери тривалий час спостерігали за вразливими пристроями – і ця тенденція зростає. 63 відсотки ІТ-експертів підтверджують, що хакери вже використовують пристрої IoT як шлюз до мереж. Зокрема, у компаніях низька довіра до заходів безпеки, пов’язаних з IoT: лише чверть із 318 респондентів бачать повну безпеку, гарантовану їхнім ІТ-відділом, тоді як 49 відсотків вважають її лише «частково достатньою». І 37 відсотків ІТ-фахівців, опитаних для звіту про безпеку Інтернету речей за 2022 рік, уже стикалися з інцидентами, пов’язаними з безпекою з кінцевими точками, які не є звичайними клієнтами ПК.
Підключене виробництво збільшує ризики
«Ризик ще більше зростає, оскільки мережеве виробництво продовжує розширюватися. Загалом можна очікувати, що за кілька років кількість підключених до мережі пристроїв подвоїться», — каже Ян Венденбург з ONEKEY. Крім автоматичної аналітичної платформи для перевірки прошивки пристрою, компанія також має власну випробувальну лабораторію, в якій тестується апаратне забезпечення великих виробників і регулярно публікуються звіти про вразливості, так звані advisory.
Нечіткість відповідальності в компаніях
Інший ризик: промислове керування, виробничі системи та інші розумні кінцеві точки інфраструктури часто використовуються більше десяти років. Однак без стратегій відповідності в компанії зазвичай немає вказівок щодо оновлення. Крім того, часто виникає дуже незрозуміла ситуація щодо відповідальності: серед 318 опитаних представників компаній найрізноманітніші люди та відділи відповідають за безпеку IoT. Спектр варіюється від технічного директора (16 відсотків) до інформаційного директора (21 відсоток), до менеджера з ризиків і дотримання вимог (22 відсотки) до менеджера із закупівель ІТ (26 відсотків). У 21 відсотку компаній зовнішні консультанти навіть беруться за придбання пристроїв і систем Інтернету речей.
З іншого боку, лише 23 відсотки виконують найпростішу перевірку безпеки – аналіз і тестування вбудованого ПЗ на наявність прогалин у безпеці. «Це недбалість. Перевірка програмного забезпечення пристрою займає кілька хвилин, результат дає чітку інформацію про ризики та їх класифікацію за рівнями ризику. Цей процес має бути частиною обов’язкової програми до та під час використання кінцевих точок – від маршрутизатора до виробничої машини», – резюмує Ян Венденбург з ONEKEY.
Більше на Onekey.com[ОДИН КЛЮЧ]