Аналитики считают, что бизнес игнорирует сообщения о найденных уязвимостях интернета вещей
Аналитики считают, что бизнес игнорирует сообщения о найденных уязвимостях интернета вещей
Аналитики считают, что технологические методы повышения безопасности интернета вещей не дают должного эффекта – бизнесмены часто просто игнорируют сообщения о найденных уязвимостях. По мнению исследователей, теперь акцент стоит сделать на юридических способах. Бизнес не реагирует на проблемы с интернетом вещей
Компании, производящие товары с использованием технологии интернета вещей (ИВ), часто игнорируют предупреждения об обнаруженных уязвимостях. Такими данными поделились эксперты Pen Test Partners. По их словам, в последние годы серьезные проблемы с обеспечением кибербезопасности были найдены в продукции ряда влиятельных корпораций, в том числе – Samsung, Mitsubishi и Amazon.
Согласно политике ответственного раскрытия информации производителям, Pen Test Partners предупреждает компании об обнаруженных проблемах, чтобы дать им возможность исправить их, и только потом публикует результаты.
«Сегодня интернет вещей переходит в разряд массовых технологий, – соглашается системный инженер Fortinet. Широкое применение подобных устройств позволяет бизнесу получать дополнительную выгоду, а потребителю – комфорт в повседневной жизни. Однако важно понимать, что ИВ-устройства, подключенные к сети, могут представлять потенциальную опасность для информационных систем организаций, так как являются объектом возможной атаки злоумышленников. Производители ИВ-устройств не уделяют внимания защищенности своих продуктов. По сути, потребитель становится уязвим при использовании таких решений». Защитить ИВ-устройства можно юридически
Аналитики напомнили, что интернет вещей широко используется в бизнес-контексте, например, в системах управления зданием, которые контролируют отопление, охлаждение, дверные замки и пожарную сигнализацию. Сотрудники Pen Test Partners сумели провести эксперимент, в ходе которого купили у официального производителя контроллер неназванной платформы и обнаружили в нем уязвимости, позволяющие обнаружить пароль сервера управления. Он позволил бы злоумышленнику получить полный контроль над системой управления зданием.
«Сотни таких контроллеров были внедрены в организациях сторонними установщиками. Они доступны удаленно, что означает, что киберпреступник может выполнить такие действия, как разблокировка двери и включение пожарной сигнализации для эвакуации из здания. Другой пример: наши исследования подтверждают, что более пяти миллионов автомобилей могут быть обнаружены, разблокированы, а их двигатель – удаленно запущен. Безопасность интернета вещей – это настоящая катастрофа».
В качестве выхода эксперты предлагают задуматься не о технических, а о юридических инструментах воздействия на производителей уязвимого оборудования. Подобный прецедент создан в Норвегии, где небезопасный товар был запрещен к продаже в ряде сетей ритейлеров.
«Существует мнение, что необходимо на уровне стандартов и законодательства закрепить хотя бы минимальные требования к информационной защищенности ИВ-устройств, поскольку на сегодняшний день часто происходит так, что когда производителям сообщают об уязвимостях их решений, они не принимают каких-либо корректирующих мер. Дополнительной мерой стимулирования к контролю качества продуктов в части их защищенности может стать право покупателя вернуть товар, если он оказался подвержен взлому».
