Virksomheder, der ikke er styring af de risici, der er forbundet med Internet of Things (IoT), med mange bygger på ældre teknologier og forvaltningspraksis for at mindske trusler mod sikkerheden, ifølge Ponemon Institute.
En nylig undersøgelse foretaget af Ponemon Institute, som undersøgte 553 virksomhedens IT-beslutningstagere, viste, at de fleste organisationer er klar over dele af let i fare IoT-enheder giver hackere til at bygge massive botnets som det fremgår af de Mirai botnet, at lamme internettet i oktober.
Men 48 procent af de adspurgte sagde, at de er aktivt at overvåge de risici, der er forbundet med anvendelsen af IoT-enheder på arbejdspladsen, og næsten tre fjerdedele, eller 72 procent, der sagde, at det tempo, som IoT-teknologi er fremme er det vanskeligt at holde trit med udviklingen i kravene til sikkerhed.
“Flere og flere virksomheder henvender sig til tingenes internet til at forbedre virksomhedens resultater og denne vækst er at skabe en grobund for cyber-angreb,” sagde Dr. Larry Ponemon, formand og grundlægger af Ponemon Institute.
“Hvad er chokerende, om disse resultater er, at den fuldstændig afbryde forbindelsen mellem det at forstå alvoren af, hvad en tredje-parts brud på sikkerheden kan betyde for virksomheder, og den manglende beredskab og kommunikation mellem afdelinger.”
Datatab eller tyveri er aktiveret af enheder, tingenes internet vil sandsynligvis ske inden for de næste to år, i henhold til 78 procent af de adspurgte, mens 76 procent mener, at et DDoS-angreb, der involverer en usikrede IoT-enhed er nært forestående inden for den samme tidsramme. Enten hændelse ville være katastrofale, i henhold til 94 procent af de adspurgte.
På trods af dette, 94 procent af de adspurgte oplyste, at de bruger stadig de traditionelle netværk firewall til at mindske trusler, og kun 44 procent mener, at deres organisation har mulighed for at beskytte deres netværk fra potentielle angreb.
Sean Peasley, partner i Deloitte ‘ s Cyber Risk Services praksis, der for nylig argumenteret for, at manglen på en effektiv IoT cybersecurity program, mangel på specialiserede talent, og utilstrækkelige budgetter er i spidsen for de fleste organisationer til at gennemføre flere løsninger, at manglende integration.
Peasley ‘ s erklæring er understøttet af Ponemon undersøgelse: 85 procent af de virksomheder, der ikke tracking IoT opgørelse sagde, at der er en mangel på centraliseret ansvar for udstyr, der anvendes på arbejdspladsen, mens mere end halvdelen af de virksomheder, eller 56 procent, citeret en mangel på ressourcer til rådighed til at udføre denne opgave.
Problemet bliver forværret af mangel på cybersecurity færdigheder, ifølge professor Jill Ihjel, direktør ved Australian Center for cybersikkerhed ved University of New South Wales i Canberra.
Tale ved Alt IoT-Topmødet i Sydney sidste år, slå Ihjel, sagde network security-medarbejdere har brug for at være upskilled, mens en ny generation af sikkerheds-fagfolk, der har behov for at blive trænet fra jorden op.
“Vi er nu i den fase, hvor vi forsøger at uddanne en ny generation af mennesker, der kan have tilsvarende faglige kvalifikationer til at forstå, hvordan Ting ser ud, hvad overtrædelser til Internettet på Tingene ser ud, og hvordan de i deres daglige job, som de kan beskæftige sig med det. Men så snart vi gør det, vil vi have en hel generation af hackere, som gør det også.”
IoT Alliance Australiens tingenes internet security retningslinje udgivet i februar understreger vigtigheden af at indarbejde sikkerhed i den centrale design af tingenes internet løsninger, men ikke bare på enheden ende. De enheder, der skal understøttes af gode ende-til-ende-arkitektur, som udviklingsmiljø for IoT, der spænder over mange sprog, operativsystemer og netværk, alliancen sagde.
Men en forudsætning for at udvikle en passende tillid ramme, ifølge tingenes internet Alliance Australien, er en forståelse af, hvordan tingenes internet-enheder selv-organisere og dele oplysninger.
“For en rute for at være etableret, rute oplysninger, der sendes fra node til node (multi-hopping), indtil den ønskede destination er fundet. Hele ruten vedligeholdelse fase, noder kan tilføje, slette eller unødigt forsinke fremsendelse af kontroloplysninger (egoistisk eller knuder, der ikke makker ret). Det er i løbet af route discovery eller videresendelse, at ondsindede knuder kan angribe,” den retningslinje stater.
At tale med ZDNet tidligere i år, John MacLeod, Watson IoT-specialist hos IBM, også understreget betydningen af at have “gennemtænkt arkitektur”.
På grund af omfanget af interaktioner, der finder sted på tværs af en organisation, IoT-økosystem-fra menneske-maskine-interface til sensor-cloud-interface — MacLeod sagde, at det er vigtigt, at virksomhedens IT-afdelinger er opmærksomme på potentielle angrebsvektorer inden for deres arkitektur, herunder sideloading, ondsindede apps, og ikke Wi-Fi-netværk.
“Der var en hændelse, hvor en hacket ind i hundredtusindvis af overvågningskameraer rundt omkring i verden og har gennemført en stor denial-of-service, fordi den software, der var blevet lagt ind i disse overvågningskameraer var ikke sikker nok, og tillod sig selv at blive erstattet af skadelig software,” MacLeod sagde.
“Tilslutning til en sikker platform er et vigtigt aspekt af sikkerheden, men det er ikke i sig selv tilstrækkeligt til at garantere sikkerheden for enheden.”
N Patterson, CTO APJ Commercial division hos Dell, EMC, forklarede, at ZDNet tidligere, at sikkerhed er “svært at bolt på bagefter”.
“Du er virkelig nødt til at tænke over det i starten, og sørg for, at du gennemfører politikker, og en infrastruktur, der kan overholde disse politikker fra jorden op,” sagde Patterson.
“Vi har set mange tilfælde, hvor det datasæt, der er blevet stjålet eller kan tilgås og anvendes. Når du har kompromitteret af en persons privatliv og har mistet deres tillid til, at det er meget svært at få den tilbage. Disse datasæt er meget værdifuldt, at der er en masse intelligens, der kan trækkes fra, at omkring brugernes adfærd og så videre, så det er vel værd at beskytte.
“Du er virkelig nødt til at sørge for, at hver gang du samler et stykke af oplysninger, du forstår, hvordan du har samlet det, hvilke rettigheder du har omkring det, hvad din forbruger forventer, at du med det at gøre.”
Christos Dimitriadis, formand for bestyrelsen af ISACA, sagde for nylig, at virksomheder skal udvikle en holistisk tilgang, der kombinerer politikker med den faktiske teknologi, mennesker og kultur i organisationen.
“En enterprise risk management framework, der indeholder cyber trusler og knytter dem til den faktiske virksomhed, produkter, tjenester og firmanavne vil hjælpe med at gøre det sikkert, at skridt i retning af cybersecurity vil blive gjort,” Dimitriadis sagde. “Det handler om at anerkende problemet og at forstå relevansen af trusler mod virksomheden.”