Сигурност

Държавата трябва да стимулира сигурността в Интернет на нещата

Computer World

Александър Главчев

Сигурността на цифровото общество е обща отговорност на правителствата, гражданските организации и бизнеса. Такова послание формулираха експерти в сферата по време на конференция, озаглавена “Предизвикателства в киберсигурността“. Тя бе организирана съвместно от Министерството на транспорта, информационните технологии и съобщенията и Държавната агенция „Електронно управление“ (ДАЕУ) като част от официалната програма на първото Българско председателство на Съвета на Европейския съюз.

Прочетете още: Проблемите със сигурността на IoT – заплаха за индустрията и потребителите

„Във време, когато имаме милиони свързани устройства, когато бизнесът зависи до много голяма степен от интернет, когато децата ни все повече време са онлайн, ние трябва да се водим от една дума – сигурност!”, заяви по време на откриването комисарят по цифрова икономика и цифрово общество Мария Габриел.

Увеличаващите се рискове в онлайн пространството бяха основна тема и във встъпителните думи на заместник-министъра на транспорта, информационните технологии и съобщенията Димитър Геновски, както и на председателя на ДАЕУ Атанас Темелков.

Въпросът е как да намерим правилния баланс, само с контрол проблемът със сигурността няма да бъде решен, каза вицепремиерът Томислав Дончев по време на приветствието си към участниците във форума. 

Сигурност в Интернет на нещата

Един от проблемите при Интернет на нещата (IoT) се крие в самия термин. “Не го харесвам защото той може да означава всичко. Затова, при по-обща употреба, той може и да не означава нищо. Ако ще го използваме, то трябва задължително да прилагаме и контекст.” Това сподели Джеф Грийн, старши директор, отговарящ за връзките с правителства и политики в Symantec Corporation по време на конференцията. Неговата презентация бе означена като ключова в програмата на събитието.

Грийн раздели IoT на две основни групи. Първата обединява потребителските продукти, като фитнес тракъри, решения за продуктивност и др. Във втората група влизат индустриалните решения, които могат да се използват за следене състоянието и управление на критична инфраструктура.

За миналата година са били отчетени 600% ръст при атаките, насочени към IoT устройства. Използвайки т.нар. хънипот (honeypot – ресурс, използван като примамка за киберпрестъпници), от Symantec са установили, че средното време до първия опит за атака е около две минути. По думите на Грийн това означава, че принципът за “сигурност чрез неизвестност” вече не е валиден.

Един от най-нашумелите напоследък случаи, свърван със сигурността при Интернет на нещата е бе Mirai. Този зловреден код се възползва от зле конфигурирани устройства, при които потребителят не си е направил труда да смени паролата на интернет камерата си, или пък е използвал твърде примитивна комбинация като “12345”. Mirai просто е изреждал най-често срещаните слаби пароли. Всъщност една трета от успешните атаки са такива именно заради недупостимо слаба парола, подчерта Грийн.


IoT устройствата са трудни за подсигуряване. Те разполагат със слаби батерии и процесори, като някои изобщо не предлагат възможност за ъпдейт на софтуера. Това важи особено за потребителските продукти, като техният притежател може изобщо да не разбере, че камерата му се използва от киберпрестъпници за провеждане на DdoS атака например.

Индустриалните устройства, въпреки по-сериозното си предназначение, далеч не са имунизирани. През 2016 г. се бяха налице две атаки срещу енергопреносната мрежа на Украйна. През 2017 г. пък Symantec публикува доклад отчете активиране на група, наречена Dragonfly. Според компанията групата е таргерирала енергийни организации в Европа и САЩ, вероятно с цел кибершпионаж и възможност за саботажи. По думите на Грийн последното не се е случило, защото никой не го е пожелал – т.е. не е имало никакви технически препятствия.


Държавата трябва да стимулира сигурността в Интернет на нещата

© Computer World, Computerworld.bg

Има ли решение?

С преминаването на Интернет на нещата от концептуална фаза към реално приложими решения, може да се очаква дори по-вече фокус от страна на киберпрестъпниците в тази насока. “В момента на пазара няма стимули решенията да бъдат сигурни. Вместо това всеки гледа пусне продукта си пръв, особено в потребителската сфера”, посочи Грийн.

Всеки, който разполага с умно устройство може да увеличи сигурността му с няколко прости стъпки. Потребителят трябва да знае кога и как то се свързва с Мрежата. Задължителна е промяната на фабричната парола. Не на последно място, ако съответната функция на новия хладилник (например) няма да се ползва, то е добре тя да бъде деактивирана.

В индустриалната сфера нещата са по-сложни. В един завод например машините могат да не се сменят с години, а и бизнесите традиционно не бързат с инсталирането на последните ъпдейти за компютърната си техника. Причина за това може да е необходимостта от сериозно планиране на такива действия, които биха могли да са свързани с прекъсване на работата.

По думите Грийн индустриалните системи трябва изначално да са проектирани с мисъл в тази насока. Също така е необходим повече фокус върху интерфейсите, чрез които операторите осъществяват връзка и контролират решенията. Според Symantec това е обичайната входна точка за зловредния код и мястото, откъдето той започва разпространението си вътре в организациите. Дори физически отделените системи могат да се окажат под заплаха – разпространяващият се чрез USB флашки StuxNet е пример за това.

Интернет на нещата навлиза в живота на хората и затова правителствата, индустриите, както и академичните общности работят върху проблемите, свързани със сигурността на тези устройства. Според Грийн държавните органи трябва да регулират IoT сферата, тъй като безопасността на свързаните устройства изостава. Той подчерта обаче, че прекалено рестриктивните политики в тази насока обаче могат да навредят на бързо развиващите се технологии. “Според мен държавите трябва да прегледат всички лостове, с които разполагат, така че да стимулират пазара да наблегне върху сигурността. Те включват развитието на стандарти, правилата за държавни поръчки, правила за боравене с данни, рамки за правна отговорност, образователни кампании, кампании за етикетиране.”





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X