IoT powered by ALLIED TELESIS — January 16, 2019 at 7:53 am

Viitorul securității dispozitivelor conectate în contextul creșterii atacurilor asupra rețelelor wireless

by

21136363

Funcționalitatea wireless a îmbunătățit eficiența la locul de muncă, iar organizațiile nu mai sunt restricționate prin accesul la cabluri. Din păcate, multe dintre aceste dispozitive sunt slab securizate și rareori au actualizat firmware-ul.

Vulnerabilitățile IoT au determinat ca dispozitivele inteligente să facă parte din botneturi și incidente, cum ar fi dispozitivele cardiace care au devenit vulnerabile la hackeri. Dispozitivele compromise pot fi folosite de atacatpro pentru orice, de la ascultarea conversațiilor și recoltarea datelor sensibile, la criptarea și accesul către sistemele informatice tradiționale. Incidentele în care hackerii au reușit să exploateze securitatea slabă a dispozitivelor pentru a obține date sensibile au avut drept rezultat pagube reputaționale semnificative, așa cum s-a întâmplat cu vTech în 2016. Deoarece astfel de atacuri au devenit mai frecvente, guvernul britanic a decis să intervină. La începutul acestui an, Departamentul pentru Digital, Cultura, Media și Sport (DCMS) a publicat raportul Secure by Design și mai târziu Codul de Practici pentru Securitatea IoT pentru consumatori, un document de orientare cu privire la cele mai bune practici pentru asigurarea dispozitivelor IoT, din care enumerăm cele mai importante practici care ne orientează către un ecosistem digital sigur.

  • Nu utilizați parole implicite. Toate parolele dispozitivului IoT trebuie să fie unice și să nu poată fi resetate la orice valoare implicită din fabrică.
  • Implementați o politică de divulgare a vulnerabilităților. Toate companiile care furnizează dispozitive conectate la internet ar trebui să ofere un punct de contact public, ca parte a unei politici de divulgare a vulnerabilităților, pentru ca cercetătorii din domeniul securității și alții să poată raporta probleme. Vulnerabilitățile dezvăluite ar trebui să se remedieze în timp util.
  • Păstrați software-ul actualizat. Componentele software trebuie să fie actualizate în siguranță. Actualizările ar trebui să fie în timp util și să nu aibă impact asupra funcționării dispozitivului. Se va publica o politică de final de viață pentru dispozitivele terminale, care specifică explicit durata minimă de timp în care un dispozitiv va primi actualizări de software.
  • Stocați cu acuratețe datele de acreditare și datele sensibile la securitate. Toate acreditările vor fi stocate în siguranță în servicii și pe dispozitive. Codurile de acreditare memorate în software-ul dispozitivului nu sunt acceptabile.
  • Comunicați în siguranță. Datele sensibile la securitate, inclusiv orice gestionare și control de la distanță, ar trebui să fie criptate în tranzit, adecvate proprietăților tehnologiei și utilizării. Toate cheile ar trebui să fie gestionate în siguranță.
  • Minimizați suprafețele de atac expuse. Toate dispozitivele și serviciile ar trebui să funcționeze conform principiului cel mai puțin privilegiat, porturile neutilizate ar trebui să fie închise, hardware-ul nu ar trebui să permită în mod inutil accesul, serviciile nu ar trebui să fie disponibile dacă nu sunt utilizate și codul ar trebui să fie redus la funcționalitatea necesară funcționării serviciului. Software-ul ar trebui să ruleze cu privilegii corespunzătoare, ținând seama atât de securitate, cât și de funcționalitate.
  • Asigurați integritatea software-ului. Software-ul pe dispozitivele IoT trebuie verificat folosind mecanisme de boot securizate. Dacă se detectează o modificare neautorizată, dispozitivul ar trebui să alerteze consumatorul/administratorul și să nu se conecteze la rețele mai largi decât cele necesare pentru a efectua funcția de alertare.
  • Asigurați-vă că datele cu caracter personal sunt protejate. In cazul în care dispozitivele și serviciile procesează date cu caracter personal, acestea trebuie să facă acest lucru în conformitate cu legislația aplicabilă privind protecția datelor. Producătorii de echipamente și furnizorii de servicii IoT furnizează consumatorilor informații clare și transparente cu privire la modul în care datele lor sunt utilizate, de către cine și în ce scopuri.
  • Asigurarea sistemelor în caz de întreruperi. Rezistența ar trebui să fie integrată în dispozitivele și serviciile IoT, acolo unde acest lucru este impus de utilizarea lor sau de alte sisteme bazate pe sisteme principale, luând în considerare posibilitatea întreruperilor rețelelor de date și a energiei. În limita posibilităților, serviciile IoT ar trebui să rămână funcționale la nivel local în cazul unei pierderi de rețea și ar trebui să se recupereze în mod clar în cazul restabilirii unei pierderi de energie. Dispozitivele ar trebui să poată reveni la o rețea într-o stare sensibilă, mai degrabă decât într-o reconectare masivă.
  • Monitorizați datele de telemetrie a sistemelor. Dacă datele de telemetrie sunt colectate de la dispozitivele și serviciile IoT, cum ar fi datele de utilizare și de măsurare, acestea ar trebui monitorizate pentru anomalii de securitate.
  • Facilitați cu ușurință consumatorilor funcții pentru a șterge datele personale. Dispozitivele și serviciile ar trebui configurate astfel încât datele personale să poată fi îndepărtate cu ușurință de pe acestea atunci când există un transfer de proprietate, atunci când consumatorul dorește să le șteargă sau atunci când consumatorul dorește să elimine dispozitivul. Consumatorii ar trebui să primească instrucțiuni clare cu privire la modul de ștergere a datelor cu caracter personal.
  • Efectuați ușor instalarea și întreținerea dispozitivelor. Instalarea și întreținerea dispozitivelor IoT ar trebui să utilizeze pași minimali și ar trebui să respecte cele mai bune practici de securitate privind gradul de utilizare. Consumatorii ar trebui, de asemenea, să dispună de îndrumări cu privire la modul de configurare în siguranță a dispozitivului.
  • Validarea datelor de intrare. Introducerea de date prin intermediul interfețelor utilizatorilor și transferate prin intermediul interfețelor de programare a aplicațiilor (API) sau între rețelele din servicii și dispozitive va avea loc printr-un proces de validare a acestor date.