Аналітики вважають, що бізнес ігнорує повідомлення про знайдені вразливості інтернету речей
Аналітики вважають, що бізнес ігнорує повідомлення про знайдені вразливості інтернету речей
Аналітики вважають, що технологічні методи підвищення безпеки інтернету речей не дають належного ефекту – бізнесмени часто просто ігнорують повідомлення про знайдені вразливості. На думку дослідників, тепер акцент варто зробити на юридичних засобах. Бізнес не реагує на проблеми з Інтернетом речей
Компанії, які виробляють товари з використанням технології інтернету речей (ІВ), часто ігнорують попередження про виявлені вразливості. Такими даними поділилися експерти Pen Test Partners. За їхніми словами, останніми роками серйозні проблеми із забезпеченням кібербезпеки було знайдено у продукції низки впливових корпорацій, у тому числі – Samsung, Mitsubishi та Amazon.
Згідно з політикою відповідального розкриття інформації виробникам, Pen Test Partners попереджає компанії про виявлені проблеми, щоб дати їм можливість виправити їх, і лише потім публікує результати.
«Сьогодні інтернет речей переходить до розряду масових технологій, – погоджується системний інженер Fortinet. Широке застосування подібних пристроїв дозволяє бізнесу отримувати додатковий зиск, а споживачеві – комфорт у повсякденному житті. Однак важливо розуміти, що ІВ-пристрої, підключені до мережі, можуть становити потенційну небезпеку для інформаційних систем організацій, оскільки є об'єктом можливої атаки зловмисників. Виробники ІВ-пристроїв не приділяють уваги захищеності своїх продуктів. По суті споживач стає вразливим при використанні таких рішень». Захистити ІВ-пристрої можна юридично
Аналітики нагадали, що інтернет речей широко використовується у бізнес-контексті, наприклад, у системах управління будівлею, що контролюють опалення, охолодження, дверні замки та пожежну сигналізацію. Співробітники Pen Test Partners зуміли провести експеримент, в ході якого купили у офіційного виробника контролер неназваної платформи та виявили в ньому уразливості, що дозволяють виявити пароль сервера керування. Він дозволив би зловмисникові отримати повний контроль за системою управління будівлею.
«Сотні таких контролерів було впроваджено в організаціях сторонніми установниками. Вони доступні віддалено, що означає, що кіберзлочинець може виконати такі дії, як розблокування дверей та увімкнення пожежної сигналізації для евакуації з будівлі. Інший приклад: наші дослідження підтверджують, що понад п'ять мільйонів автомобілів можуть бути виявлені, розблоковані, а їхній двигун – віддалено запущений. Безпека інтернету речей – це справжня катастрофа».
Як вийти експерти пропонують задуматися не про технічні, а про юридичні інструменти впливу на виробників уразливого обладнання. Подібний прецедент створений у Норвегії, де небезпечний товар був заборонений до продажу у низці мереж рітейлерів.
«Існує думка, що необхідно на рівні стандартів та законодавства закріпити хоча б мінімальні вимоги до інформаційної захищеності ІВ-пристроїв, оскільки на сьогоднішній день часто відбувається так, що коли виробникам повідомляють про вразливість їх рішень, вони не приймають будь-яких коригуючих мір. Додатковим заходом стимулювання до контролю якості продуктів у частині їхньої захищеності може стати право покупця повернути товар, якщо він виявився схильний до злому».
