Bezpieczeństwo IoT wezwanie do działania na rzecz lepszego ujawniania luk w zabezpieczeniach

Eksplozja urządzeń Internetu rzeczy (IoT) w ciągu ostatniej dekady połączyła nas na wiele różnych sposobów, radykalnie zmieniając sposób, w jaki konsumujemy treści, robimy zakupy spożywcze i prowadzimy codzienne życie, a nawet sposób, w jaki przygotowujemy poranną filiżankę kawy. Według prognozy International Data Corporation (IDC) do 2025 r. wdrożonych zostanie 41,6 miliarda urządzeń IoT, czyli ponad cztery urządzenia na każdego mężczyznę, kobietę i dziecko na planecie.

Jednak jedną rzeczą, której konsumenci się nie spodziewali, jest to, jak podatni na ataki czynią nas urządzenia IoT. Według niedawnego badania przeprowadzonego przez Bitdefender, w monitorowanym środowisku sieciowym, aż do 70% ruchu IoT zostało zidentyfikowanych jako potencjalnie złośliwe. To niesamowite odkrycie. Pomyśl o tym przez minutę. Trzy z czterech bitów, które przemieszczają się między monitorem dziecka, inteligentnym termostatem lub inteligentną lodówką a domowym routerem, są nieautoryzowane.

Ta inwazja na prywatność jest częścią małego sekretu producentów IoT. Presja rynku, aby dostarczać nowe podłączone urządzenia na ogromną skalę, naraża konsumentów na duże ryzyko, a firmy nie robią wystarczająco dużo, aby chronić użytkowników przed złośliwą aktywnością. Znane luki w zabezpieczeniach rzadko są naprawiane w rozsądnym czasie – niektóre nigdy – i zazwyczaj nie ma spójnego programu ujawniania luk w zabezpieczeniach, w którym inżynierowie, hakerzy white hat i inni mogliby ostrzegać dostawców, że ich produkty mogą być zagrożone.

Żadnych zasad. Mało regulacji

Branża IoT jest jak Dziki Zachód z niewielką liczbą ustalonych praktyk lub standardów. Produkty są budowane przy użyciu dziesiątek komponentów i części pochodzących od zewnętrznych producentów z całego świata, a przejrzystość łańcuchów dostaw jest niewielka. Urządzenia IoT są również podatne na ataki ze względu na ich połączoną naturę. Aby mogły działać prawidłowo, urządzenia muszą być podłączone do Internetu (lub przynajmniej routera), a wiele z nich jest zarządzanych za pośrednictwem chmury. Ta architektura, choć niezbędna do zamierzonego celu urządzeń podłączonych, rozszerza powierzchnie zagrożeń urządzeń, dając atakującym wiele sposobów na ich wykorzystanie w sprzęcie, oprogramowaniu układowym, sieci, aplikacjach i chmurze.

Oczywiście zaczynamy dostrzegać pewne postępy na niektórych rynkach. Ustawa o poprawie cyberbezpieczeństwa IoT z 2020 r. przyznaje Narodowemu Instytutowi Norm i Technologii (NIST) uprawnienia do zarządzania ryzykiem cyberbezpieczeństwa IoT w przypadku urządzeń nabytych przez rząd federalny, podczas gdy nadchodząca ustawa UE o odporności cybernetycznej wprowadza szczególne obowiązki bezpieczeństwa dla producentów urządzeń — w tym zgłaszanie luk i incydentów. Chociaż te przepisy są krokiem we właściwym kierunku, istnieje ryzyko, że dadzą konsumentom fałszywe poczucie bezpieczeństwa. Zgodność z tymi przepisami jest szeroko niespójna, a producenci mają dużą swobodę w zakresie sposobu postępowania z ujawnianiem luk w zabezpieczeniach, w tym sposobu zgłaszania luk w zabezpieczeniach oraz sposobu i czasu ich rozwiązywania.

Znaczący postęp został niedawno ogłoszony w marcu przez Connectivity Standards Alliance (CSA) wraz z wydaniem specyfikacji IoT Device Security Specification 1.0. Specyfikacja CSA ma na celu zapewnienie ujednoliconego standardu cyberbezpieczeństwa IoT, konsolidując wymagania z trzech najpopularniejszych przepisów IoT ze Stanów Zjednoczonych, Europy i Singapuru. CSA ogłosiła również towarzyszący temu znak Product Security Verified Mark, mający na celu identyfikację produktów, które zostały zweryfikowane pod kątem wymagań bezpieczeństwa specyfikacji. Specyfikacja wspomina o kilku istotnych wymaganiach, takich jak bezpieczne aktualizacje oprogramowania w całym okresie wsparcia, zarządzanie lukami w zabezpieczeniach i publiczna dokumentacja dotycząca bezpieczeństwa. Niemniej jednak, chociaż jest to znaczące osiągnięcie i krok naprzód, jak zawsze, nadal jest to pole do poprawy.

Według badań Bitdefender tylko 10% luk w zabezpieczeniach IoT jest rozwiązywanych w czasie krótszym niż 30 dni od ujawnienia, a ponad 20% zajmuje ponad rok lub nigdy nie jest rozwiązywanych. Powody tego braku pilności są w dużej mierze napędzane przez rynek. Rynek IoT jest tak gorący i rozwija się tak szybko, że stałe wsparcie i bezpieczeństwo mają niskie priorytety. Większość dostawców IoT priorytetowo traktuje zasoby dla rozwoju nowych produktów, a wielu z nich nie ma nawet programu ujawniania luk w zabezpieczeniach, aby ludzie mogli zgłaszać exploity.

Wpływ na konsumentów może być niezwykle niepokojący. Urządzenia IoT, które zostały naruszone, mogą zostać przechwycone w celu uzyskania informacji kontaktowych i popularnych haseł, które mogą być używane do innych usług online, takich jak poczta e-mail, usługi finansowe i bankowość. Urządzenia IoT są również wykorzystywane do skoordynowanych ataków typu „odmowa usługi” na dużą skalę. Wyobraź sobie, że masz możliwość kontrolowania 100 000 bezprzewodowych monitorów dziecięcych, aby przytłoczyć znaną stronę internetową. Złośliwi aktorzy robią to cały czas.

Wdrażanie strategii odpowiedzialnego ujawniania luk w zabezpieczeniach

Dostawcy IoT muszą wdrożyć strategie odpowiedzialnego ujawniania luk w zabezpieczeniach, aby wzmocnić swoją postawę bezpieczeństwa i zapewnić bezpieczeństwo konsumentom. Samo wdrożenie procesu może w dużym stopniu sformalizować program i sprawić, że odpowiednie zasoby są priorytetowo traktowane w celu zarządzania lukami w zabezpieczeniach. Dostawcy powinni być w stanie przyjąć ujawnienie luk w zabezpieczeniach i skierować je do odpowiednich zasobów wsparcia oraz inżynierii, aby można je było przetestować, rozwiązać, a także naprawić w rozsądnym czasie.

Oto trzy rzeczy, które dostawcy IoT i branża IoT mogą zrobić, aby wdrożyć programy odpowiedzialnego ujawniania luk w zabezpieczeniach:

1. Wyznacz dedykowaną osobę kontaktową ds. bezpieczeństwa

Byłbyś zdziwiony, dowiadując się, jak wielu dostawców IoT nie ma dedykowanego kontaktu ds. bezpieczeństwa w organizacji. Posiadanie w zespole osoby, która może poradzić sobie z problemami bezpieczeństwa i lukami w zabezpieczeniach, może mieć duże znaczenie dla odpowiedzialności firmy za bezpieczeństwo oraz prywatność swoich klientów. Ważne jest, aby polityka ujawniania luk w zabezpieczeniach firmy i dane kontaktowe były dostępne na stronie internetowej firmy. Firmy mogą nawet hostować formularz zgłaszania luk w zabezpieczeniach, który ludzie mogą sami wypełnić. Ta osoba może być publiczną twarzą programu ujawniania luk w zabezpieczeniach organizacji i pomagać w przepychaniu problemów przez proces testowania, inżynierii oraz raportowania. Być może przedsiębiorcza osoba lub organizacja normalizacyjna byłaby skłonna utrzymywać bazę danych procesów ujawniania luk w zabezpieczeniach dostawców IoT i danych kontaktowych.

2. Wdrożenie nakazu naprawy luk w zabezpieczeniach w całym cyklu życia produktu

Istotne jest, aby wszyscy dostawcy IoT byli pociągnięci do odpowiedzialności za naprawę luk w zabezpieczeniach w całym cyklu życia produktu. Średni okres eksploatacji urządzenia IoT wynosi trzy lata, więc wydaje się to rozsądnym nakazem. Zgodnie z prawem producenci IoT byliby zmuszeni do usunięcia luk w zabezpieczeniach w tym rozsądnym czasie — nawet w przypadku komponentów wyprodukowanych przez dostawców i partnerów w całym łańcuchu dostaw. Po upływie terminu ważności produktu lub zastąpieniu go innym modelem dostawca może zdecydować o zakończeniu swojej polityki ujawniania luk w zabezpieczeniach.

3. Wspieranie egzekwowania regulacji

Każde nowe rozporządzenie jest tak dobre, jak jego egzekwowanie. Rządy i agencje praw konsumentów powinny mieć prawo do karania producentów IoT, jeśli nie są przestrzegane zasady odpowiedzialnego ujawniania luk w zabezpieczeniach. Istnieją precedensy dla tych nakazów. Stany Zjednoczone skutecznie zakazały Huawei prowadzenia działalności w tym kraju i są w trakcie zakazywania TikToka. Każdy dostawca IoT, który spełnia określone wymogi cyberbezpieczeństwa, powinien działać na określonym rynku.

Rzecznictwo jest konieczne, aby wprowadzić zmiany

Bezpieczeństwo IoT jest poważnym problemem na całym świecie, narażającym konsumentów i ich tożsamość na ryzyko. Programy ujawniania luk w zabezpieczeniach mają potencjał, aby pomóc dostawcom identyfikować i naprawiać luki w zabezpieczeniach w odpowiednim czasie, ale muszą mieć za sobą narzędzia. Dostawcy IoT muszą wyznaczyć osobę kontaktową ds. bezpieczeństwa i opublikować swoje zasady raportowania na swojej publicznej stronie internetowej. Urządzenia powinny być obsługiwane i chronione przez cały okres eksploatacji produktu (zwykle trzy lata). A firmy, które nie spełniają tych standardów, powinny ponieść konsekwencje narażania konsumentów na ryzyko.

Pamiętaj także o tym, że nawet najlepsze regulacje nie ustrzegą cię przed wszystkimi cyberzagrożeniami. W aktualnym krajobrazie cyberniebezpieczeństw kluczowym elementem skutecznej ochrony jest odpowiedni system antywirusowy wyposażony w moduł antyphishingowy, np. Bitdefender GravityZone Business Security Premium. Jeśli chcesz poznać więcej informacji na temat tego produktu, to sprawdź tę stronę.