Internet stvari (IoT). Že nekaj časa se potiho krade v podjetja in tudi naše domove. Omogoča nam obilje stvari, nam pomaga in lajša vsakdanja opravila. Vendar pa lahko tisto, česar ne vemo o teh napravah, škodi.
Organizacije vseh velikosti pospešujejo uporabo naprav IoT za široko paleto poslovnih koristi: za zmanjševanje stroškov, izboljšanje poslovanja, izkoriščanje analitike velikih podatkov, pospeševanje digitalne preobrazbe ali v večini primerov za dosego vsega naštetega.
Raziskave kažejo, da je bilo samo lani 7,6 milijarde IoT naprav; do leta 2025 naj bi se ta številka povečala na 41,6 milijarde. Izvršni direktorji si ne morejo privoščiti, da bi IoT preprosto prezrli. Morali bi ga sprejeti kot močno silo za inovacije in motnje. Vendar je potrebno biti zelo pozoren in oči držati široko odprte za tveganja. IoT je lahko potencialna nočna mora, če se ne izvedejo ustrezni ukrepi za izgradnjo pravega okvira in temeljev za kibernetsko varnost.
Na to, kako nevarna je lahko nepomembna širitev IoT brez ustreznih zaščitnih ukrepov za kibernetsko varnost, so opozarjali že pred časom. Skupina strokovnjakov Palo Alto Networks za varnostne grožnje – Unit 42, je analizirala varnostne težave v 1,2 milijona naprav IoT v različnih podjetjih in zdravstvenih organizacijah v ZDA in sicer v celotnem letu 2018 in 2019. Unit 42 poročilo o ogroženosti IoT za leto 2020 kaže, da je število naprav IoT, ki so izpostavljene in izkoriščane, alarmantno. Poleg tega je 98% vsega prometa z napravami IoT nešifriranega, medtem ko je 57% IoT naprav izpostavljenih napadom srednje ali visoke resnosti.
Torej, pomembno je razumeti, kakšne korake je potrebno sprejet, da lahko zagotovimo razširjeno uporabo IoT, hkrati pa zmanjšamo tveganje kibernetske varnosti.
Zapleteno pri tem izzivu je, da poslovne enote v mnogih organizacijah uporabljajo IoT naprave zunaj varnega krog, ki ga določi CIO ali CISO. Vsaka poslovna enota v organizaciji lahko kupi naprave IoT, ne glede na to, ali CISO ali CIO ve za to ali ne in tega ni mogoče ustaviti. Če lahko CISO razvije celostno varnostno strategijo IoT, lahko poslovnim enotam pomagajo pri nakupu naprav IoT, pridobijo vidnost in že na začetku pričnejo z vzpostavitvijo zaščite teh naprav.
Izognimo se minam
Prvi korak do varnosti IoT se sliši kot preprost, a je to komajda. Vedeti moramo, katere vrste naprav imame in kje vse so nameščene. Primerjamo jih lahko s kopenskimi minami. Trenutno jih naj bi bilo po celem planetu zakopanih v tla več kot 110 milijonov. Samo v Egiptu je od druge svetovne vojne ostalo 23 milijonov min, ki jih ni mogoče odstraniti, saj nihče ne ve, kje so.
Ne želimo, da bi naprave IoT predstavljale mine prihodnosti, zato moramo vedno, ko potrebujemo dostop, uporabiti tehnologije, ki jih lahko prepoznajo in upoštevajo ne glede na to, kje se te naprave nahajajo. Varnost IoT je več kot prepoznavanje in iskanje teh milijard naprav. Gre tudi za upravljanje z njimi skozi celoten življenjski cikel. Na primer:
- Kako lahko zagotovimo, da lahko z razvojem tehnologij posodobimo naprave s trenutnimi varnostnimi popravki, operacijskimi sistemi in drugimi zaščitami ter ko kibernetski kriminalci odkrijejo nove načine preboja obstoječih varnostnih ovir?
- Kako lahko spremenimo gesla naprav, v katerih se gesla lahko kodirajo v strojno opremo?
- Kako lahko v realnem času sledimo uporabi naprav za spremljanje varnostnih tveganj in zagotovimo, da naša organizacija ostaja skladna s spreminjajočimi se regulativnimi zahtevami po vsem svetu?
- Kako lahko zagotovimo, da bomo lahko izklopili in umaknili naprave, ko smo jih zamenjali ali prekoračili obdobje uporabnosti?
To niso zgolj prazna vprašanja, ampak so resnični problemi, ki bi jih morale varnostne ekipe obravnavati zdaj. Ko se bo svet premaknil iz 14 milijard do 20 milijard, 25 milijard do več kot trilijona naprav, bo prepoznavanje, upravljanje in zaščita naprav IoT v njihovem življenjskem ciklu toliko bolj zapletena.
Navodila in priporočila
Na srečo so na voljo pomoč in priporočila za zmanjšanje tveganja za kibernetsko varnost IoT. Ameriški Nacionalni inštitut za standarde in tehnologijo trenutno pripravlja smernice za proizvajalce naprav IoT, da bodo njihovi izdelki varnejši in bolj zaščiteni, so pa že izdali nabor priporočljivih funkcij kibernetske varnosti, ki jih lahko vključimo v naprave, ki so v omrežju. Nove tehnološke platforme lahko pomagajo prepoznati IoT naprave in jih upravljati skozi celoten življenjski cikel.
Še več, Open Web Application Security Project (OWASP) je prevzel vodilno vlogo pri pomoči vodjem kibernetske varnosti pri prepoznavanju najpogostejših ranljivosti naprav IoT. Njihov seznam ponuja vodilo, ki ga morajo upoštevati strokovnjaki za kibernetsko varnost, prav tako pa daje vodjem podjetij trdno podlago, da svojim timom za kibernetsko varnost postavljajo prava vprašanja.
Najnovejši seznam ranljivih IoT ranljivosti OWASP "Top 10" je:
1. Šibka, ugibljiva ali trdo kodirana gesla
2. Nevarne omrežne storitve
3. Nevarni vmesniki ekosistema
4. Pomanjkanje varnih mehanizmov za posodabljanje
5. Uporaba nevarnih ali zastarelih komponent
6. Nezadostna zaščita zasebnosti
7. Nevaren prenos in shranjevanje podatkov
8. Pomanjkanje upravljanja naprav
9. Nevarne privzete nastavitve
10. Pomanjkanje fizičnega utrjevanja
Nobena industrija ni imuna na izzive IoT, ne glede na to, ali je to trgovina, finance ali tehnologija itd. Kje se nahaja vaša organizacija? Če ne veste, je čas, da se začnete spraševati glede kibernetske varnosti in vztrajati pri zaščiti IoT naprav. Prihodnost ne čaka nikogar.