Трудно превзойти возможность указать вашей звуковой системе выбрать и воспроизвести определенную песню, или заказать что-то в Интернете, используя только свой голос, или ваш холодильник сообщит вам, когда вы заканчивается еда, или пусть ваш офисный принтер сам диагностирует себя и автоматически запросит обслуживание у поставщика.
Подобные функции стимулируют спрос на умные офисы, умные дома, умные устройства, умные здания и умные города — все они связаны через Интернет вещей (IoT).
Интернет вещей — это сеть физических объектов, оснащенных датчиками, программным обеспечением и другими технологиями для обмена данными с другими устройствами и системами через Интернет. К ним относятся встроенные системы, беспроводные сенсорные сети, системы управления, системы автоматизации дома и зданий, а также устройства для умного дома, а также смартфоны и интеллектуальные динамики.
По данным Transforma Insights, исследовательской компании по цифровой трансформации, в конце 2019 года во всем мире было 7,6 миллиарда активных устройств Интернета вещей, а в 2030 году их будет 24,1 миллиарда.
Содержание статьи
Подключенные плюшевые мишки — подождите, что?
Безусловно, побуждаемые необходимостью работы из дома в 2020 году, люди подключили к своим корпоративным сетям множество некоммерческих устройств. Некоторые из них предсказуемы, а другие могут вызывать удивление. Например, плюшевые мишки и другие игрушки, спортивное оборудование, такое как тренажеры, игровые устройства и подключенные автомобили, согласно отчету международной компании по кибербезопасности Palo Alto Networks по безопасности Интернета вещей за 2020 год
.
Растущее количество и разнообразие устройств, подключенных к сетям IoT, все больше затрудняют реализацию кибербезопасности, поскольку каждое устройство является потенциальным слабым местом.
Например, можно взломать большое количество подключенных машин, чтобы закрыть города, вызвав затор.
Умные здания и даже города могут быть взломаны для взлома автоматизированных систем, управляющих системами отопления, вентиляции и кондиционирования, пожарной сигнализацией и другой важной инфраструктурой.
Цифровые злоумышленники, как сообщается, проникли в дома через умные термостаты, чтобы терроризировать семьи, дистанционно включив отопление; а затем общение с жителями через камеры, подключенные к Интернету.
Последствия взлома, вероятно, будут наиболее серьезными в сфере здравоохранения, где отказ оборудования или угон оборудования будут представлять опасность для жизни.
«Подключенные медицинские устройства — от инфузионных насосов с поддержкой Wi-Fi до интеллектуальных аппаратов МРТ — увеличивают поверхность атаки устройств, обменивающихся информацией, и создают проблемы безопасности, включая риски конфиденциальности и возможное нарушение правил конфиденциальности», — написал Анастасиос Арампацис, автор журнала поставщик средств безопасности Tripwire.
Руководители холдинга «подожги к огню»
Итак, кто будет отвечать за кибербезопасность в сети IoT? Продавцы индивидуальной техники или оборудования? Кто владеет или управляет сетью? Компания или организация, использующие сеть IoT?
Глобальная исследовательская и консалтинговая компания Gartner прогнозирует, что к 2024 году 75 процентов руководителей будут нести личную ответственность за атаки на то, что Gartner называет киберфизическими системами (CPS).
Gartner определяет CPS как «системы, которые спроектированы для оркестровки датчиков, вычислений, управления, сетей и аналитики для взаимодействия с физическим миром, включая людей».
Эти системы «лежат в основе всех связанных ИТ, операционных технологий (OT) и Интернет вещей (IoT), где соображения безопасности охватывают как кибернетический, так и физический мир, например, ресурсоемкую, критическую инфраструктуру и среду клинического здравоохранения ».
OT состоит из оборудования и программного обеспечения, которое обнаруживает или вызывает изменение промышленного оборудования, активов, процессов и событий посредством прямого мониторинга и / или контроля.
Другими словами, 75 процентов руководителей могут нести ответственность за сбои в безопасности Интернета вещей к 2024 году.
Почему генеральные директора? Как написала вице-президент по исследованиям Gartner Кателл Тилеманн, регулирующие органы и правительства резко ужесточат правила и положения, регулирующие CPS, в ответ на рост серьезных инцидентов, вызванных неспособностью защитить CPS. «Вскоре генеральные директора не смогут сослаться на незнание или отступать за страховые полисы».
Привлечение генеральных директоров к ответственности »является вполне вероятной возможностью и согласуется с тем, как генеральные директора несут ответственность за точность и законность их финансовые свидетельства в соответствии с Законом Сарбейнса-Оксли 2002 г., — сказал TechNewsWorld Перри Карпентер, главный евангелист и сотрудник по стратегии обучающей компании по вопросам безопасности KnowBe4.
Закон Сарбейнса-Оксли был создан для борьбы с корпоративным мошенничеством.
Национальная ассоциация корпоративных директоров (NACD) «понимает, что кибербезопасность и, как следствие, кибербезопасность должны быть проблемой, которая должна подниматься даже до уровня Совета директоров», — сказал Карпентер. «Он выпустил руководство о том, как это сделать».
Компании могут покупать киберстрахование, но полисы киберстрахования «печально известны тем, что не выплачивают выплаты, если компания не отвечает высоким стандартам безопасности», — заметил Карпентер.
Кроме того, «регулирующие органы не будут торопиться предлагать легкие выходы для руководителей и компаний, которые могут проявить явную халатность».
Возможен ли подход, основанный на оценке риска?
Как выяснила глобальная консалтинговая компания McKinsey & Co., предприятия стремятся принять подход к кибербезопасности, основанный на оценке рисков, но он не обеспечивает общей защиты руководителей.
Подходы к информационной безопасности, основанные на оценке риска, позволяют организациям применять стратегии, адаптированные к их уникальной операционной среде, ландшафту угроз и бизнес-целям, согласно CDW, которая предоставляет технологические решения для бизнеса, правительства, образования и здравоохранения в США и Великобритании. и Канада.
Они позволяют пользователям «понять влияние усилий по снижению рисков, обеспечивая всестороннее представление о рисках и заполняя пробелы, которые могут быть оставлены другими подходами к безопасности. Использование подхода, основанного на оценке рисков, прекрасно вписывается в систему управления рисками предприятия ( ERM) стратегии, принятые многими организациями ».
« Риск всегда является частью уравнения », — сказал Карпентер. «Проблема возникает, когда организации или руководители имеют неприемлемо высокую терпимость к риску или просто предпочитают сунуть голову в песок».
Широко признано, что полностью защищенной системы не существует, поэтому Разве генеральный директор не несет ответственности за отказ CPS?
«Дело не в 100-процентной защите, — сказал Карпентер, — а в том, чтобы обеспечить должную осторожность в том, как системы являются архитекторами. Руководители не могут просто разводить руками и использовать [the fact that 100 percent security doesn’t exist] в качестве оправдания, они должны строить с учетом требований безопасности и устойчивости ».
Указывать пальцами не так просто
Несмотря на возможные параллели с законом Сарбейнса-Оксли, вопрос о вине будет нелегко решить.
«В конечном итоге генеральный директор несет ответственность за работу своей организации, но реальность более тонкая, чем просто« доллар останавливается », — сказал TechNewsWorld Сарью Найяр, генеральный директор глобальной компании по кибербезопасности Gurucul.
«Кибератаки сложны и часто включают множество движущихся частей», — сказал Найяр. «Возлагать ответственность на генерального директора, потому что он является генеральным директором, может быть неуместным».
Тем не менее, генеральные директора должны нести личную ответственность, если они не могут установить высокие стандарты для своих групп безопасности или гарантировать, что стандарты достигнуты , Отметил Найяр.
Неясно, кто будет или должен нести ответственность, сказал TechNewsWorld Сальваторе Столфо, основатель и технический директор Allure Security, приложения безопасности как услуги, защищающего от фишинговых атак.
«Это руководители компаний, производящих небезопасные устройства Интернета вещей, или руководители компаний, которые их покупают и развертывают?» он спросил. «Не существует действующего законодательства, разъясняющего, кто теоретически будет нести ответственность».
Альтернативой возложению личной ответственности на генеральных директоров было бы принятие рекомендации Комиссии по киберпространству соляриев (CSC) о привлечении к ответственности производителей устройств Интернета вещей за продажу дефектных продуктов или за непредоставление базовых функций безопасности, включая возможность обновления программного обеспечения устройства, когда обнаруживаются уязвимости в системе безопасности, как рекомендовал Столфо.
Это одна из 80 рекомендаций, сделанных CSC, который был создан в 2019 году для выработки консенсуса в защите США в киберпространстве.
Как сделать сети IoT более безопасными
Palo Alto Networks рекомендует следующие шаги для защиты сетей IoT:
- Используйте обнаружение устройств, чтобы получить подробную и актуальную информацию. — актуальная инвентаризация количества и типов устройств, подключенных к вашей сети IoT, их профилей риска и их доверенного поведения;
- Сегментируйте вашу сеть, чтобы устройства IoT находились в их собственных строго контролируемых зонах безопасности, сохраняя их отдельно от ИТ-активы;
- Принять методы защиты паролей, заменив пароль по умолчанию для вновь подключенных устройств IoT на безопасные, придерживаясь корпоративных политик паролей;
- Продолжайте исправлять и обновлять прошивку, когда они доступны; и
- Постоянный активный мониторинг устройств IoT.
Защита сетей IoT требует сочетания покупки продуктов, которые являются безопасными по конструкции, и применения целостного подхода к безопасности, сказала TechNewsWorld Андреа Каркано, соучредитель операционных технологий (OT) и фирмы по обеспечению безопасности Интернета вещей Nozomi Networks .
«ИТ-специалисты больше не могут просто беспокоиться о безопасности и возможности подключения своих ИТ-сетей», — сказал Каркано. «Они должны думать о безопасности своих кибер и физических систем». 
