Företag är inte att hantera de risker som är förknippade med Internet of Things (IoT), med många förlitar sig på äldre teknik och förvaltning för att mildra hot mot säkerheten, enligt Ponemon Institute.
En nyligen genomförd studie av Ponemon Institute, som tillfrågade 553 företagets IT-beslutsfattare, visade att de flesta organisationer är medvetna om breda lager av lätt äventyras IoT-enheter möjliggör för hackare att bygga stora botnät som exemplifieras av de Mirai botnät som lamslog internet i oktober.
Men 48 procent av de tillfrågade säger att de aktivt övervaka de risker som uppstår genom användningen av sakernas internet enheter på arbetsplatsen, och nästan tre fjärdedelar, eller 72 procent, säger den takt som IoT tekniken går framåt är att göra det svårt att hålla jämna steg med de förändrade kraven på säkerhet.
“Fler och fler företag vänder sig till sakernas internet för att förbättra verksamhetens resultat och denna tillväxt är att skapa en grogrund för it-attacker,” sade Dr Larry Ponemon, ordförande och grundare av Ponemon Institute.
“Vad är chockerande om dessa fynd är klar kopplar du mellan att förstå allvaret i vad en tredje parts brott mot säkerheten kan innebära för företag, och bristen på beredskap och kommunikation mellan olika avdelningar.”
Dataförlust eller-stöld med aktiverat av IoT-enheter kommer sannolikt att ske inom de närmaste två åren, enligt 78 procent av de tillfrågade, medan 76 procent tror att en DDoS-attack där en osäkrad IoT-enheten är överhängande inom samma tidsram. Antingen händelsen skulle vara katastrofala, enligt 94 procent av de tillfrågade.
Trots detta, 94 procent av de tillfrågade uppgav att de använder fortfarande traditionella nätverk brandvägg för att minska hoten, och bara 44 procent tror att deras organisation har förmåga att skydda sina nätverk från eventuella attacker.
Sean Peasley, partner på Deloitte Cyber Risk Tjänster praxis, som nyligen hävdat att avsaknaden av en effektiv sakernas internet it-programmet, brist på specialiserade talang, och otillräcklig budgetar som leder de flesta organisationer att genomföra flera led lösningar som bristande integration.
Peasley uttalande stöds av Ponemon studie: 85 procent av de företag som inte spåra IoT inventering sagt att det finns en brist på ett centraliserat ansvar för enheter som används på arbetsplatsen, medan mer än hälften av företagen, eller 56 procent, hänvisas till en brist på resurser för att utföra denna uppgift.
Problemet förvärras av bristen på it-kompetens, enligt professor Jill Dräpa, director på den Australiska Centrum för It-Säkerhet vid University of New South Wales i Canberra.
På tal på Allt IoT-mötet i Sydney förra året, Dräpa sa nätverk säkerhet personal måste vara upskilled, medan en ny generation av säkerhets-och sjukvårdspersonal måste vara tränade från marken upp.
“Nu är vi i stadiet där vi försöker att utbilda en ny generation av människor som kan ha motsvarande kvalifikationer för att förstå vad Internet av Saker och ting ser ut, vad överträdelser till Internet för Saker och ting ser ut, och hur den i sitt dagliga jobb de kan ta itu med det. Men så fort vi gör det, kommer vi ha en hel generation av hackare som gör det också.”
Sakernas internet Alliansen Australiens sakernas internet security riktlinje som släpptes i februari betonar vikten av att integrera säkerhet i den grundläggande utformningen av sakernas internet lösningar, men inte bara på den enhet slutet. De enheter måste ha stöd av god end-to-end arkitektur, som utvecklingsmiljö för sakernas internet spänner över många språk, operativsystem och nätverk, alliansen sagt.
Men en förutsättning för att utveckla en lämplig lita på ramen, enligt sakernas internet Alliansen Australien, är att förstå hur sakernas internet enheter själv ordna och dela information.
“För en rutt för att vara etablerad rutt-information sänds från nod till nod (multi-hopping) tills önskad destination finns. Hela vägen underhåll fas, noder kan lägga till, ta bort eller onödigt dröjsmål överföring av kontroll information (själviska eller missköter noder). Det är under vägen upptäckt eller vidarebefordran av att skadlig noder kan attackera,” den riktlinje staterna.
Tala med ZDNet tidigare i år, John MacLeod, Watson IoT specialist på IBM, som också betonade vikten av att ha “väl genomtänkt arkitektur”.
På grund av omfattningen av interaktioner som äger rum i en organisation är sakernas internet ekosystem — från människa-maskin-gränssnitt till sensor-cloud gränssnitt — MacLeod sa att det är viktigt att företagets IT-avdelningar är medveten om möjliga angreppsvägar inom deras arkitektur, inklusive sideloading, skadliga program, och osäkert Wi-Fi-nätverk.
“Det var en incident där någon hackade in hundratals av tusentals övervakningskameror runt om i världen och genomfört en stor överbelastning eftersom programvaran som hade varit laddad i dessa kameror var inte tillräckligt säker och tillåtit sig att ersättas av skadlig programvara,” MacLeod sagt.
“Ansluta till en säker plattform är en viktig aspekt av trygghet, men det är inte i sig tillräcklig för att garantera säkerheten för enheten.”
Arrondiss Patterson, CTO APJ Kommersiella divisionen på Dell EMC, förklarade ZDNet tidigare att säkerhet är “svårt att bolt på efteråt”.
“Du måste verkligen tänka på det i början och se till att du genomföra politik och infrastruktur som kan följa dessa riktlinjer från grunden,” Patterson sa.
“Vi har sett många fall där data har stulits eller nås och användas. När du har förstört någons integritet och förlorat deras förtroende, det är väldigt svårt att få tillbaka det. Dessa data är mycket värdefullt, det finns en hel del intelligens som kan dras från att kring användarens beteende och så vidare, så det är väl värt att skydda.
“Du måste verkligen se till att varje gång du samlar in en bit av information, du förstår hur du har samlat in den, vilka rättigheter du har runt det, vad konsumenten förväntar sig att du ska göra med det.”
Christos Dimitriadis, ordförande i styrelsen av ISACA, sade nyligen att företag måste utveckla en helhetssyn som kombinerar strategier med den faktiska teknik, människor och kultur i organisationen.
“En enterprise risk management framework som innehåller it-hot och länkar dem till faktiska affärer, produkter, tjänster och varumärke namn kommer att bidra till att göra det vissa som steg mot it-säkerhet kommer att göras,” Dimitriadis som sagt. “Det handlar om att erkänna problemet och förstå relevansen av hot mot verksamheten.”