Ondernemingen zijn niet in het beheer van de risico ‘ s verbonden met het Internet of Things (IoT), met veel vertrouwen op verouderde technologieën en governance-praktijken te verminderen bedreigingen van de veiligheid, volgens het Ponemon Institute.
In een recent onderzoek van het Ponemon Institute, die de ondervraagde 553 enterprise IT-besluitvormers, toonde aan dat de meeste organisaties zijn zich bewust delen van eenvoudig te kraken IoT apparaten inschakelen hackers te bouwen enorme botnets zoals geïllustreerd door de Mirai botnet, dat de kreupele internet in oktober.
Echter, 48 procent van de respondenten zei dat ze het actief monitoren van de risico ‘ s van het gebruik van de IoT-apparaten op de werkplek, en bijna drie kwart, of 72 procent, aldus het tempo waarin IoT technologie in opmars is, waardoor het moeilijk is te blijven met de veranderende veiligheidseisen.
“Meer en meer bedrijven wenden zich tot IoT om de bedrijfsresultaten verbeteren en deze groei is het creëren van een broedplaats voor cyber-aanvallen,” zei Dr. Larry Ponemon, voorzitter en oprichter van het Ponemon Institute.
“Wat is schokkend over deze bevindingen is het volledige koppel tussen het begrijpen van de ernst van wat een derde partij inbreuk op de beveiliging zou kunnen betekenen voor de bedrijven, en het gebrek aan voorbereiding en communicatie tussen afdelingen.”
Data verlies of diefstal ingeschakeld door IoT apparaten zal waarschijnlijk binnen de komende twee jaar, volgens 78 procent van de ondervraagden, terwijl 76 procent van mening dat een DDoS-aanval, waarbij een onbeveiligd IoT apparaat is dreigend binnen dezelfde termijn. Ofwel incident zou catastrofaal zijn, volgens 94 procent van de respondenten.
Ondanks dit, 94 procent van de respondenten gaf aan dat ze nog steeds gebruik maken van een traditionele firewall te beperken bedreigingen, en slechts 44 procent denkt dat hun organisatie de mogelijkheid om hun netwerk te beschermen tegen mogelijke aanvallen.
Sean Peasley, partner bij Deloitte Cyber Risk Services praktijk, recent betoogd dat het ontbreken van een effectieve IoT cybersecurity-programma, een tekort aan gespecialiseerde talent, en ontoereikende budgetten zijn toonaangevend in de meeste organisaties om meerdere point-solutions op dat het gebrek aan integratie.
Peasley de verklaring wordt ondersteund door het Ponemon studie: 85 procent van de bedrijven die geen tracking-IoT inventaris gezegd: er is een gebrek aan gecentraliseerde verantwoordelijkheid voor apparaten die worden gebruikt in de werkplaats, terwijl meer dan de helft van de bedrijven, of 56 procent, genoemd een gebrek aan middelen beschikbaar voor het uitvoeren van deze taak.
Het probleem wordt nog verergerd door het gebrek van cybersecurity vaardigheden, volgens professor Jill Doden, directeur van het Australian Centre for Cyber Security van de Universiteit van New South Wales in Canberra.
Spreken op het Alles-IoT Top in Sydney vorig jaar, Doden zei network security stafleden moeten worden upskilled, terwijl een nieuwe generatie van security professionals getraind moeten worden uit de grond omhoog.
“Nu zijn we in de fase waarin we proberen met het opleiden van een nieuwe generatie van mensen die misschien een gelijkwaardige beroepskwalificatie te begrijpen wat het Internet der Dingen eruit ziet, wat zij aan het Internet van de Dingen eruit zien, en hoe in hun dagelijkse werk kunnen gaan. Maar zodra we dat doen, we gaan er een hele generatie van hackers die dat ook doen.”
IoT Alliance Australië IoT veiligheid richtsnoer uitgebracht in februari benadrukt het belang van de integratie van veiligheid in het ontwerp van de IoT oplossingen, maar niet alleen op het apparaat einde. Moeten de apparaten worden ondersteund door een goede end-to-end-architectuur, zoals de ontwikkeling van de omgeving voor IoT strekt zich uit over vele talen, besturingssystemen en netwerken, de alliantie zei.
Echter, een noodzakelijke voorloper op het ontwikkelen van een passende trust framework, volgens IoT Alliance Australië, is kennis en begrip van hoe Dingen apparaten om zichzelf te organiseren en informatie te delen.
“Voor een route worden vastgesteld, route-informatie wordt overgebracht van knooppunt naar knooppunt (multi-hoppen) totdat de gewenste bestemming is gevonden. Gedurende de hele route fase onderhoud, knooppunten kunnen toevoegen, verwijderen, of onnodig vertraging in de transmissie van controle-informatie (zelfzuchtig of slecht werkende knooppunten). Het is tijdens de route ontdekking of het doorsturen van die kwaadaardige knooppunten kunnen vallen,” de richtlijn lidstaten.
Gesprek met ZDNet eerder dit jaar, John MacLeod, Watson IoT specialist bij IBM, ook gewezen op het belang van het hebben van “goed doordachte architectuur”.
Als gevolg van de schaal van de interacties die plaatsvinden in een organisatie, is het IoT ecosysteem — van de mens-machine-interface van de sensor-cloud-interface — MacLeod zei: het is van cruciaal belang dat de enterprise IT-afdelingen op de hoogte zijn van potentiële beveiligingslekken in hun architectuur, met inbegrip van sideloaden, kwaadaardige apps en onbeveiligde Wi-Fi-netwerken.
“Er was een incident waarbij iemand gehackt in honderden duizenden beveiligingscamera’ s rond de wereld en voerde een grote denial-of-service, omdat de software die werd geplaatst in deze beveiligingscamera ‘ s was niet veilig genoeg en liet zich vervangen door schadelijke software,” MacLeod zei.
“Verbinding maken met een beveiligd platform is een belangrijk aspect van de veiligheid, maar het is op zichzelf niet voldoende is om te garanderen de veiligheid van het apparaat.”
Arron Patterson, CTO APJ Commerciële divisie van Dell, EMC, legde ZDNet eerder dat de veiligheid is “moeilijk om de bout daarna op”.
“Je moet echt denken over het aan het begin en zorg ervoor dat je de uitvoering van het beleid en de infrastructuur die kan respect dat beleid van de grond af,” zei Patterson.
“We hebben veel gezien in veel gevallen voor datasets zijn gestolen of toegankelijk en te gebruiken. Als je eenmaal hebt gecompromitteerd van iemands privacy en verloren hun vertrouwen, het is heel moeilijk om dat terug. Deze datasets zijn zeer waardevol, er is veel van de informatie die kan worden getrokken uit dat rond het gedrag van de gebruiker en zo voort, dus het is de moeite waard om te beschermen.
“U echt nodig om ervoor te zorgen dat elke keer dat u het verzamelen van een stuk van de informatie, u kunt begrijpen hoe die je hebt verzameld, welke rechten u heeft omheen, wat de consument verwacht van u dat u te maken.”
Christos Dimitriadis, voorzitter van de raad van bestuur van ISACA, zei onlangs dat de ondernemingen moeten een holistische benadering die een combinatie van beleid met de technologie, de mensen en de cultuur van de organisatie.
“Een enterprise risk management framework bevat cyber bedreigingen en gekoppeld aan actuele zaken, producten, diensten en merken helpt het dat bepaalde stappen in de richting van cybersecurity zal worden gemaakt,” Dimitriadis zei. “Het gaat over het erkennen van het probleem en het begrip van de relevantie van de bedreigingen voor het bedrijf.”