Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Цей небезпечний IoT: загрози бізнесу і способи вирішення проблеми

2019-08-21
Автор: Телесфера

Мережеві технології зробили світ зовсім маленьким, в тому сенсі, що вони дозволили людям, які знаходяться один від одного в тисячах кілометрів спілкуватися в режимі реального часу. Але мережеві технології і пристрої можуть бути і небезпечними, якщо говорити про кібершпіонаж. Особливу небезпеку становлять ботнети, які вражають погано захищені мережні девайси.

Ще одна проблема - IoT в бізнесі і промисловості. За прогнозами фахівців, кількість підключених до мережі пристроїв всіх видів до 2020 року збільшиться до 25-50 млрд, а в 2025 році досягне 75 млрд. Бізнес дуже активно використовує IoT, до 2022 року витрати на цю сферу досягнуть $ 1 трлн. Але в гонитві за функціональністю виробники і споживачі забувають про кібербезпеку.

Наскільки реальною є небезпека?

Якби хтось створив індикатор небезпеки IoT, то цей девайс вже давно ревів би сиреною і блимав червоним світлом. Пару років тому «Лабораторія Касперського» налаштувала IoT-пастки (Honeypot), які імітували різні гаджети під управлінням Linux. Лише через декілька секунд після активації Honeypot вони стали реєструвати перші спроби підключення до відкритого Telnet-порту. За добу кількість унікальних звернень до «пасток» досягло декількох десятків тисяч.

Після аналізу пристроїв, які шукали відкриті з'єднання, виявилося, що серед них чимало промислових систем, які, взагалі-то, повинні бути добре захищені і перебувати «за сімома печатками». Йдеться, перш за все, про зламані системи контролю або керування пристроями в сфері промисловості та безпеки. Тут весь спектр - від касових терміналів магазинів, ресторанів і заправних станцій до систем цифрового телемовлення, екологічного моніторингу, охорони та контролю доступу, управління електроживленням, а також програмованих контролерів, які використовуються в промисловості. Була навіть система моніторингу сейсмічної станції в Бангкоку.

Фахівці іншої компанії - Positive Technologies, виявили, що розумні мережі електропостачання надзвичайно уразливі для злому.

Треба розуміти, що це поверхневі дослідження, які відкривають верхівку айсберга. Якби копнули глибше, ймовірно, були б виявлені і інші сюрпризи.

У чому причина проблеми?

Що стосується побутових пристроїв, то про це вже писали. У світі корпорацій все трохи складніше. Тут причини наступні:

  • Швидке проникнення IoT-рішень і масштабування виробничої інфраструктури. Компанії бачать технологічні нововведення і прагнуть їх швидше використовувати в гонитві за оптимізацією бізнес-процесів і виробництва. Відповідно, різні рішення впроваджуються без належного контролю з точки зору кібербезпеки;
  • Ненадійні системи аутентифікації користувачів. Незважаючи на те, що в бізнесі, особливо великому, використовуються надійні системи аутентифікації, IoT-пристроїв це зазвичай не стосується. Поставили датчики, запустили - і добре. А те, що в таких системах, найчастіше, залишаються дефолтні зв'язки пароль/логін, якось забувається.
  • Різнорідність IoT-рішень. У світі налічується кілька тисяч компаній, які виробляють і поставляють IoT-рішення для бізнесу. У підсумку на одному і тому ж підприємстві можуть бути встановлені системи різних виробників, які могли перевірити на предмет інформаційної безпеки окремо, але комплексної перевірки готової інфраструктури або навіть її частин не було.
  • Для прискорення виведення продукту на ринок багато компаній не створюють пристрій з нуля, а використовують готові компоненти, включаючи чіп, камеру, бездротові модулі зв'язку і т.п. Будь-який з цих елементів може бути підданий злому. В ідеальній ситуації IoT-системи потрібно тестувати кілька тижнів, перш, ніж починати впровадження.

Так що ж робити?

Пропозицій багато, але більшість з них можна звести до такого виду:

  • Сертифікація IoT-систем, введення галузевих і державних стандартів безпеки (можливо, і міжнародних). За вихідну точку для розробки таких стандартів можна взяти АСУ ТП (промислові систем управління);
  • При впровадженні системи на виробництві проводити повноцінний аудит безпеки силами фахівців ІБ-відділу компанії або за допомогою аутсорсних профільних компаній;
  • Відключати налагоджувальні механізми, впроваджувати фізичний захист пристроїв;
  • Відмова від практики створення систем із зоопарку різних рішень. Зараз це зробити складно в силу відсутності сертифікації, але з плином часу ситуація поліпшується;
  • Впровадження надійних систем користувальницької аутентифікації;
  • З боку виробників - відмова від свідомо вразливих технологій, протоколів і програмних платформ;
  • Застосування комплексних програмних засобів безпеки з антивірусом, фаєрволом, засобом виявлення вторгнень, наприклад Kaspersky Internet Security;
  • Застосування сучасних апаратних шлюзів безпеки з усім перерахованим вище плюс технологіями машинного навчання для ефективного захисту від загроз нульового дня, наприклад новітні шлюзи Zyxel ATP.

В цілому, ситуація навряд чи зміниться до тих пір, поки її не захочуть змінити основні споживачі IoT-рішень для бізнесу - тобто, компанії і корпорації різного рівня. Як тільки до IoT-пристроїв стануть пред'являти підвищені вимоги, ситуація на ринку зміниться.

Джерело: https://habr.com/ru/company/zyxel/blog/463835/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

SD-WAN - тенденції останнього часу і прогноз на 2020

SD-WAN - тенденції останнього часу і прогноз на 2020
Блог Телесфера,Налаштування,Налаштування Cisco,Телесфера Інтеграція

Будь-яка компанія, велика чи мала, використовує в своїй роботі зв'язок. Це може бути стільниковий телефон, інтернет, мережа для зв'язку з регіональними підрозділами, супутник і т.п. Якщо компанія досить велика, а її підрозділи знаходяться в різних регіонах однієї країни або різних країнах, то сума, яку вона витрачає на послуги зв'язку, може бути вельми солідною.

Cisco представила продукти для малих підприємств під брендом Cisco Designed for Business

Cisco представила продукти для малих підприємств під брендом Cisco Designed for Business

Cisco в ході своєї щорічної конференції Partner Summit запропонувала замовникам і партнерам безпечне і гнучке портфоліо, цільову підтримку, розраховану на кілька років інформаційно-освітню кампанію і нарощування партнерських інвестицій для вигідного використання можливостей, що відкриваються в малому бізнесі.

Cisco: ІТ-лідери готові до впровадження ШІ (штучний інтелект) і інтенційно-орієнтованих мереж

Cisco: ІТ-лідери готові до впровадження ШІ (штучний інтелект) і інтенційно-орієнтованих мереж
Cisco,Cisco Network,IoT,cisco,cisco безпека,новини,Послуги Телесфера Інтеграція

Компанія Cisco опублікувала результати опитування, в якому взяли участь більше 2 тис. ІТ-лідерів і розробників мережевих стратегій. Дослідження показало, що головним пріоритетом для ІТ-галузі є максимізація бізнес-цінності, що відображає прагнення до розвитку інновацій і більш тісної координації з бізнес-стратегією.