Осенью в офисы вернется только треть работников, а миллионы сотрудников британских предприятий в обозримом будущем продолжат работать из дома. Это изменение заставило компании ввести множество новых политик и процедур для адаптации, особенно в области корпоративной безопасности. В течение многих лет отраслевые эксперты предсказывали, что количество устройств Интернета вещей будет увеличиваться. В 2018 году главный операционный директор SoftBank Марсело Клер смело заявил, что к 100 году на каждого человека будет приходиться 2025 устройств Интернета вещей. В общей сложности это почти триллион устройств Интернета вещей. Кроме того, он сказал, что компании увеличат свои расходы на Интернет вещей на 96% в течение следующих трех лет. Пандемия вызвала рост спроса на устройства IoT, поскольку потребители, работающие дома, покупают устройства для питания своих домашних офисов. Однако эта новая волна покупок IoT, от Wi-Fi-маршрутизаторов и ячеистых сетей до интеллектуальных колонок и носимых устройств, ориентированных на здоровье, может подорвать безопасность предприятия, поскольку оно становится «бизнесом». дом рабочего.
Насколько безопасно ваше устройство Интернета вещей?
Большинство устройств Интернета вещей, приобретаемых для дома, относительно недороги, ориентированы на среднего потребителя, и для их защиты на аппаратном или программном уровне зачастую не прилагается особых усилий. Кроме того, ИТ-команды не имеют информации об устройствах, принадлежащих сотрудникам, или о мерах безопасности, которые они приняли (или не приняли). Поскольку 15% владельцев IoT-устройств по-прежнему используют пароли по умолчанию, весьма вероятно, что в большинстве компаний есть хотя бы один сотрудник с уязвимым устройством. А когда это устройство находится в той же сети, которую работник использует для электронной почты, обмена файлами и доступа к защищенным данным, частная уязвимость становится бизнес-проблемой. Злоумышленники внезапно получают доступ к большему количеству направлений атак, связанных с устройствами Интернета вещей, включая оборудование, сети, API и интерфейсы. Поскольку в ближайшее время признаков масштабного возвращения в офисы нет, правительства, производители, группы ИТ-безопасности и сотрудники должны сыграть свою роль в снижении этих рисков.IoT Security 101 для корпоративных вычислений
Хорошей новостью является то, что принципы безопасности для устройств Интернета вещей аналогичны тем, которые применяются к другим устройствам и данным в целом. Поскольку эти устройства находятся вне поля зрения ИТ-специалистов и операционных групп, им следует вместо этого развернуть инструменты безопасности, которые обеспечивают защиту конечных точек и мониторинг периферийных устройств — предотвращение вторжений и раннее обнаружение. Это по-прежнему лучший способ избежать нарушений. Шифрование и другие приложения безопасности следует оценивать на корпоративном ИТ-оборудовании, развернутом в той же сети, что и потребительские устройства Интернета вещей. Они являются первой линией защиты и должны обеспечивать меры безопасности, которые, как уже отмечалось, эти устройства часто не обеспечивают в стандартной комплектации. Их уязвимости должны быть оценены с точки зрения поверхностей атак, описанных выше, и приняты соответствующие меры, такие как более строгие процессы аутентификации в реальном времени для устройств в корпоративных сетях. Обучение сотрудников, а также базовая подготовка и осведомленность в области кибербезопасности также играют важную роль в снижении рисков. Например, подключение IoT-устройств к отдельной сети значительно усложняет атаки, поэтому требование к сотрудникам разделить коммерческие и потребительские устройства на уровне сети может оказать существенное влияние. Базовое знание паролей также является обязательным и должно быть тем, что большинство сотрудников уже делают в своей повседневной жизни: сотрудников можно, как минимум, попросить проверить и сбросить пароли до значений по умолчанию. на устройствах Интернета вещей.Производителям необходимо усилить и защитить устройства
От самих производителей также потребуются долгосрочные действия. Это применимо, даже если на них не распространяются законодательные требования по защите устройств Интернета вещей на рынках, на которых они работают. Производители могут столкнуться с огромным ущербом для своей репутации, компрометацией интеллектуальной собственности и потерей доверия потребителей, даже если нарушение является непреднамеренным, например, из-за плохого дизайна. Управление идентификацией на уровне устройства — ключевой способ защиты Интернета вещей. Скомпрометированные пароли — самый простой и распространенный способ получить несанкционированный доступ к устройствам, поэтому законодательство часто направлено против этой области. Хорошее управление учетными данными похоже на наличие настроенного на заводе защищенного от несанкционированного доступа уникального аппаратного идентификатора с уникальным сложным паролем и безопасной процедурой сброса пароля. Каждый сохраненный пароль также должен использовать стандартную хэш-функцию и уникальное значение соли. Также рекомендуется по возможности использовать 2FA (двухфакторную аутентификацию). Количество внешних сетевых подключений должно быть сведено к минимуму, необходимому для работы устройства, чтобы точки доступа были ограничены и контролируемы. Это касается и физических точек доступа: все интерфейсы и порты, используемые производителем для тестирования или отладки устройства, должны быть удалены. Многие производители уже относятся к этому серьезно, но для тех, кто этого не делает, возможно, этот вопрос придется решать на нормативном уровне.Национальные правительства должны обеспечить соблюдение основных стандартов безопасности Интернета вещей.
Организации, сотрудники которых находятся более чем в одной стране, часто сталкиваются с фрагментированной и запутанной международной нормативной базой безопасности устройств Интернета вещей. В последние годы Великобритания активизировалась в этом отношении. Два года назад компания выпустила «Кодекс лучших практик обеспечения безопасности при проектировании» для обеспечения безопасности потребительского Интернета вещей. Первоначально ориентированный на производителей, он стремился создать разумные стандарты безопасности, которые включают уникальные пароли устройств по умолчанию, минимальный график обновлений безопасности и общедоступное контактное лицо для раскрытия уязвимостей. Однако по закону производители не обязаны следовать этим рекомендациям. Так будет до января 2020 года, когда правительство Великобритании систематизировало эти рекомендации в новый закон, который потребует от производителей устройств Интернета вещей, продаваемых в Великобритании, следовать им. Это был большой шаг вперед в защите потребителей и, как следствие, бизнеса за счет облегчения ответственности за обеспечение безопасности их устройств и передачу их производителю. К сожалению, правительство Соединенных Штатов не сделало того же. В Соединенных Штатах до сих пор нет федеральных правил, несмотря на предупреждения ФБР о рисках, связанных с устройствами Интернета вещей как шлюзами для «внутренних устройств», таких как ноутбуки, в одной сети. В 2018 году Калифорния стала первым штатом США, который регулирует устройства Интернета вещей в соответствии со стандартом SB-327, требующим многих из тех же мер, что и предыдущий закон Великобритании. Он вступил в силу в январе 2020 года. Но для компаний, работающих на большей части территории США, определенный уровень риска Интернета вещей кажется неизбежным.Безопасность Интернета вещей — коллективная ответственность
Поскольку экосистема все еще находится в зачаточном состоянии, не существует волшебной формулы для защиты устройств Интернета вещей в больших масштабах: производители, политики, предприятия и сотрудники играют свою собственную роль в управлении и мониторинге рисков. Интернета вещей. Однако, приняв некоторые из этих мер, компании могут быть более уверены в безопасности своих корпоративных сетей и быть в безопасности от угроз обычного Интернета вещей. Возможно, тогда они смогут обратиться к богатству возможностей, которые они могут предложить.- Дэррил Джонс, директор по управлению продуктами для Интернета вещей, ForgeRock.