Le imprese non sono gestione dei rischi connessi con l’Internet delle Cose (IoT), con molti affidamento sulle vecchie tecnologie e pratiche di governance per mitigare le minacce per la sicurezza, secondo il Ponemon Institute.
Un recente studio condotto dal Ponemon Institute, che ha intervistato 553 enterprise responsabili IT, ha mostrato che la maggior parte delle organizzazioni sono consapevoli fasce di compromessi facilmente IoT dispositivi permettono agli hacker di costruire una grande botnet come esemplificato dalla Mirai botnet che ha paralizzato internet nel mese di ottobre.
Tuttavia, il 48 per cento degli intervistati ha detto che sono attivamente di monitoraggio i rischi derivanti dall’utilizzo di dispositivi IoT nel posto di lavoro, e quasi tre quarti, o il 72 per cento, ha detto che il ritmo di IoT tecnologia avanza, rende difficile tenere il passo con l’evoluzione delle esigenze di sicurezza.
“Sempre più aziende si rivolgono a internet degli Oggetti per migliorare i risultati di business e di questa crescita è la creazione di un terreno fertile per gli attacchi informatici”, ha detto il Dottor Larry Ponemon, presidente e fondatore del Ponemon Institute.
“Ciò che è scioccante circa questi risultati è la completa disconnessione tra comprendere la gravità di ciò che un terzo di violazione della sicurezza potrebbe significare per le imprese, e la mancanza di preparazione e di comunicazione tra i reparti”.
O perdita di dati, furto abilitato da dispositivi IoT probabile che si verificano entro i prossimi due anni, secondo il 78% degli intervistati, mentre il 76% crede che un attacco DDoS che coinvolgono un contratto di IoT dispositivo è imminente, entro il medesimo termine. Incidente sarebbe catastrofico, secondo il 94 per cento degli intervistati.
Nonostante questo, il 94 per cento degli intervistati ha indicato che ancora usano un tradizionale firewall di rete per mitigare le minacce, e il 44 per cento credono che la loro organizzazione ha la capacità di proteggere la rete da potenziali attacchi.
Sean Peasley, partner di Deloitte Cyber Risk Services, ha recentemente sostenuto che la mancanza di un efficace IoT cybersecurity programma, la mancanza di specializzazione talento, e insufficiente bilanci che porta la maggior parte delle organizzazioni di implementare più punto di soluzioni che, in mancanza di integrazione.
Peasley affermazione è supportata dal Ponemon di studio: l ‘ 85% delle aziende che non sono il tracciamento degli Oggetti dell’inventario ha detto che c’è una mancanza di accentramento della responsabilità per dispositivi utilizzati sul posto di lavoro, mentre oltre la metà delle imprese, o il 56 per cento, ha citato una mancanza di risorse disponibili per eseguire questa operazione.
Il problema è aggravato dalla mancanza di sicurezza informatica competenze, secondo il professor Jill Uccidere, direttore presso l’Australian Centre per la Sicurezza informatica presso l’Università del New South Wales a Canberra.
Parlando a Tutto IoT Vertice a Sydney lo scorso anno, Uccidere disse che la rete di protezione personale devono essere upskilled, mentre una nuova generazione di professionisti della sicurezza ha bisogno di essere addestrato da terra.
“Ora siamo nella fase in cui stiamo cercando di formare una nuova generazione di persone che potrebbero essere equivalenti qualifiche professionali di capire cosa l’Internet delle Cose sembra, che le violazioni per l’Internet delle Cose aspetto, e come nel loro lavoro quotidiano si può fare con esso. Ma non appena lo facciamo, stiamo andando ad avere una intera generazione di hacker che fare anche questo.”
IoT Alleanza Australia IoT sicurezza di guida rilasciato nel mese di febbraio, che sottolinea l’importanza di integrare la sicurezza nella progettazione di base di soluzioni IoT, ma non solo all’estremità del dispositivo. I dispositivi devono essere supportati da una buona end-to-end, l’architettura, l’ambiente di sviluppo per IoT spazia in molte lingue, sistemi operativi e reti, l’alleanza ha detto.
Tuttavia, un precursore necessario sviluppo di un appropriato fiducia quadro, secondo IoT Alleanza Australia, è la comprensione di come IoT dispositivi di auto-organizzare e condividere le informazioni.
“Per un percorso stabilito, percorso di informazione è trasmessa da nodo a nodo (multi-hopping) fino alla destinazione desiderata è trovato. Lungo il percorso, in fase di manutenzione, i nodi possono aggiungere, eliminare o inutilmente ritardare la trasmissione di informazioni di controllo (egoista o malfunzionamenti di nodi). È durante il percorso di scoperta o di inoltro dannose di nodi in grado di attaccare,” le linee guida degli stati membri.
Parlando con ZDNet all’inizio di quest’anno, John MacLeod, Watson IoT specialista IBM, ha anche evidenziato l’importanza di avere “ben pensato attraverso l’architettura”.
A causa della scala di interazioni che avvengono all’interno di un’organizzazione IoT ecosistema, dall’interfaccia uomo-macchina per il sensore di cloud interfaccia — MacLeod ha detto che è fondamentale che i reparti IT aziendali sono consapevoli dei potenziali vettori di attacco all’interno della loro architettura, tra cui il sideloading, applicazioni malevole, e non protetto reti Wi-Fi.
“C’è stato un incidente in cui qualcuno si è introdotto in centinaia di migliaia di telecamere di sicurezza in tutto il mondo e ha condotto una grande denial of service, in quanto il software che era stato caricato in queste telecamere di sicurezza non era abbastanza sicuro e permesso a se stesso di essere sostituito da software dannoso,” MacLeod ha detto.
“Collegamento a una piattaforma sicura è un aspetto importante della sicurezza, ma non è in sé sufficiente a garantire la sicurezza del dispositivo.”
Aaron Patterson, CTO APJ divisione Commerciale di Dell, EMC, ha spiegato ZDNet in precedenza che la sicurezza è “difficile da montare dopo”.
“Davvero devo pensare che all’inizio e assicurarsi che si sta attuazione delle politiche e delle infrastrutture che si può garantire il rispetto di tali politiche, dalla terra in su,” disse Patterson.
“Abbiamo visto molti casi in cui set di dati sono stati rubati o utilizzati. Una volta compromessa la privacy di qualcuno e hanno perso la loro fiducia, è molto difficile ottenere che indietro. Questi dati sono molto importanti, ci sono un sacco di informazioni che possono essere tratte da che circa il comportamento degli utenti e così via, quindi vale la pena proteggere.
“Hai davvero bisogno di assicurarsi che ogni volta che si raccogliere un pezzo di informazione, è capire in che modo sono stati raccolti, quali diritti si hanno intorno, ciò che il consumatore si aspetta di fare con esso.”
Christos Dimitriadis, presidente del consiglio di amministrazione di ISACA, ha recentemente affermato che le imprese devono sviluppare un approccio olistico che combina politiche con l’attuale tecnologia, le persone e la cultura dell’organizzazione.
“Un enterprise risk management framework, che incorpora le cyber-minacce e collega tra di loro reali di business, prodotti, servizi, nomi di marca potrà contribuire a rendere certo che passi verso la cybersecurity sarà fatto,” Dimitriadis ha detto. “Si tratta di riconoscere il problema e comprendere la rilevanza delle minacce per il business.”