20/03/2017

Zmiana nastawienia do bezpieczeństwa Internetu Rzeczy

Porady Zagrożenia

W trakcie procesu przygotowywania jakiegoś przedmiotu producent zazwyczaj zastanawia się nad jego cyklem życia, czyli idealnym czasem użytkowania go. Na przykład smartfony najlepiej jest wymieniać co dwa lata, a producenci z branży motoryzacyjnej zakładają, że właściciele kupują nowe auta co pięć lat.

Problem w tym, że świat nie działa tak, jak ktoś zakłada. Używanych samochodów czy telefonów ludzie poszukują np. u dilerów czy przeglądają serwis eBay.

W miarę wzrostu świata Internetu Rzeczy rynek przedmiotów używanych będzie nabierać na znaczeniu dla producentów. Dlaczego? Dlatego, że wiele urządzeń posiada w firmowych arkuszach sprzedaży ograniczoną żywotność, więc po swojej dacie „wygaśnięcia” nie otrzymują one wsparcia technicznego i zazwyczaj to jest dokładnie ten czas, gdy zamiast trafić do kosza, trafiają na rynek wtórny.

Możliwe, że osoby, które odkupują takie urządzenia IoT, są później zdziwione, że dana rzecz nie jest już chroniona przed żadnymi lukami, które i tak po jakimś czasie są wykrywane — zarówno przez białe, jak i czarne kapelusze.

Znanych jest wiele przypadków, w których urządzenia połączone z internetem okazały się podatne na włamanie — winne było oprogramowanie wykorzystywane do łączenia z Siecią. Zhakowano już nianie elektroniczne, klimatyzatory i samochody. To smutne, że jeśli coś łączy się z Siecią, może zostać zhakowane. A jest wiele wyszukiwarek Internetu Rzeczy, które pomagają w takich działaniach.

Wiemy także, że w etapie przygotowywania produktu cyberbezpieczeństwo znajduje się zazwyczaj na szarym końcu.

Według Todd Inskeep of Booz Allen Hamilton firmy muszą zacząć budować zaufanie w kwestii bezpieczeństwa urządzeń, które mogą łączyć się z internetem. Na zeszłorocznej konferencji RSA pojawiła się prezentacja zatytułowana Cyber Wars: The Trust Awakens.

W trakcie wystąpienia omówiona została potrzeba znacznej zmiany w procesie wdrażania produktów. W tę zmianę powinni zaangażować się wszyscy zainteresowani, od działów zajmujących się koncepcją przez działy odpowiedzialne za prace badawczo-rozwojowe po marketing i sprzedaż, a także wszyscy, którzy są pomiędzy nimi. Gdy nie uwzględniasz najgorszego przypadku, jaki może się zdarzyć, możesz stracić zaufanie klientów.

Teoretycznie firmy mogłyby działać podobnie jak wojsko, które przygotowuje się z wyprzedzeniem na wszystkie potencjalne scenariusze. Ono działa systematycznie. Mówiąc językiem marketingowym, ich branża działa jak spójna jednostka. Ponadto wiele zasad oddziałów wojskowych jest całkiem mocno zakorzenionych u większości Amerykanów.

Wszyscy się zgodzimy, że w tej kwestii musi nastąpić zmiana: firmy muszą zacząć myśleć o bezpieczeństwie. Jednak bądźmy szczerzy — zajmie to sporo czasu. Trzeba zatem działać na własną rękę.

Jeśli chodzi o zakupy, zawsze warto się zastanowić, czy dana rzecz spełnia aktualne potrzeby. W przypadku urządzeń połączonych z internetem zachęcam do zadania sobie następujących pytań:

  1. Czy ta rzecz naprawdę musi łączyć się z internetem?
  2. Jaką ta firma ma opinię względem bezpieczeństwa?

Jeśli odpowiedź na pierwsze pytanie brzmi NIE, poszukaj innego produktu. Jeśli chodzi o drugie pytanie, skorzystaj z wyszukiwarki internetowej — poszukaj jakichś badań o firmie. A jeśli chcesz być na bieżąco z najnowszymi informacjami dotyczącymi świata IT, zaglądaj do naszego serwisu Threatpost.