Сигурност

IoT няма бъдеще, ако киберсигурността не бъде гарантирана

CIO Media

Мениджърите в компаниите добре осъзнават невероятния потенциал на Интернет на нещата (Internet of Things – IoT). Въпреки това той може и да не бъде реализиран, ако ИТ специалистите не успеят преди това да се справят с предизвикателствата в сферата на киберсигурността.

62% от производителите в индустриалния сектор вече широко използват IoT. Този опит вече е достатъчна основа за главните изпълнителни директори по сигурността на информацията (CISO), така че да могат да формулират добри практики за идентифицирането и отстраняването на киберзаплахи.

IoT предизвикателствата: краят на подхода „въздушно пространство“

Очаква се IoT да генерира приходи до 11, 1 трл. долара до 2025, така че организациите, които безопасно приложат технологията по-рано имат възможността да получат значително конкурентно предимство. Но всяко IoT устройство представлява нова възможност за атака, която трябва да се предотврати, а това не е лесна задача.

Според Gartner около 20,4 млрд. IoT устройства ще се използват до 2020, като всички ще събират и предават данни, много от които ще бъдат с чувствителен характер. И все пак едни единствен пробив в киберсигурността много лесно може да обезсмисли ефективността на тези технологии.

Изследване на фирмата за сигурност Trend Micro и Миланския политехнически университет доказва това, пробивайки защитите на роботизирана ръка, която често се използва в индустриалния сектор. Вследствие на това „хакерите“ успяват да вградят в продуктите дефекти, за постоянно да я повредят и да я поставят в режим на сигурност, дори при реална активност – изключително опасен сценарий, ако някой от служителите се намира в нейния периметър на движение.

Индустриалният сектор преди разчиташе на подход, наречен „въздушно пространство“, който включваше физическото изолиране на системите от незащитените мрежи и публичен интернет. Това обаче вече не е работеща възможност по редица причини. Масовото използване на потребителски IoT продукти и тенденцията „Донесете свое собствено устройство“ са едни от основните проблеми. Това означава, че става все по-трудно да се попречи на служителите да увеличават риска за дадената организация – например само една компрометирана USB памет може да създаде сериозен проблем за системите.

Освен това модерните компании трябва да имат достъп до облака, за да бъдат конкурентоспособни. Производителите, например, все повече използват сложно оборудване като роботи. Ако те се повредят, организациите най-вероятно няма да могат да ги поправят сами. Вместо това е много по-икономически ефективно за инженерите да провеждат дистанционна диагностика през интернет, отколкото да пътуват до съответното място. Именно и затова вече не е възможно да се използва „въздушното пространство“ като подход за гарантиране на сигурността.


IoT няма бъдеще, ако киберсигурността не бъде гарантирана

© CIO Media, Cio.bg

Оценяване на риска

Главените изпълнителни директори по сигурността на информацията трябва да могат да се доверяват на системите си, но в епохата на свързаните технологии се оказва доста трудно да се откриват уязвимите места.

Затова на първо място трябва да се извърши цялостен анализ на техническия риск, включително пълно регистриране на наличното оборудване. Това ще идентифицира слабите страни и ще помогне ИТ специалистите да създадат план, който определя къде трябва да се фокусират усилията по сигурността. Подобен подход изглежда логичен, но изследване на Deloitte показва, че почти една трета от производителите все още не са преминавали през процес за оценяване на риска на системите.

Важността на сътрудничеството

След като бъде оценен рискът, следващата задача е да се приложат мерките за сигурност, чиято цел е да се идентифицират слабите места. Когато става дума за IoT устройства, това означава да се промени достъпа им до по-широките системи. На следващо място са необходими мерки за автентификация на устройствата, за да се гарантира, че комуникацията между IoT и другите ИТ системи е защитен.

В повечето случаи хората са една от най-големите заплахи за киберсигурността, така че задължително трябва да се предприемат стъпки да се намали този риск. Обученията не трябва да се пренебрегват, но организациите не могат винаги да разчитат, че техните служители ще вземат правилните решения. Затова е добра идея да се внедри хардуер, който може да сканира устройства като USB и лаптопи за злонамерен софтуер.

Освен това компаниите трябва да променят характера на своите отношения с доставчиците – киберсигурността преди представляваше набор от продукти, които могат да се купят, докато днес тя е по-скоро продължаваща програма за сътрудничество между бизнеса и технологичните доставчици. Фирмите трябва да са сигурни, че купуваният от тях софтуер и хардуер има нужните защити, така че да не се превърне в слабото звено, което да стане жертва на хакери.

Винаги нащрек в ерата на IoT

Непрекъснатото оценяване и бдителността са от изключително значение в ерата на IoT. Заплахите непрекъснато се развиват, а някои са създадени, така че да остават спящи за дълъг период от време, след като инфилтрират системата. Преди доста компании в индустриалния сектор се придържаха към концепцията „ако не е счупено, няма нужда да се поправя“. Но вече главните изпълнителни директори по сигурността на информацията не могат повече да си позволяват да поемат подобен тип рискове.


X