С умом найти и потерять: риски IoT-устройств

Еще в 2017 году количество используемых “умных” устройств превысило численность населения мира. Объемы потребления технологий впечатляют. Особенно с учетом того, у скольких устройств интернета вещей (IoT) есть серьезные недостатки безопасности. Это и делает их привлекательными целями для злоумышленников.

В каких сферах используют устройства интернета вещей? В чем риски? Как много устройств имеют критические уязвимости? И что можно с этим сделать? Давайте выясним.

Что такое интернет вещей

IoT (Internet of Things, Интернет вещей) – это общий термин, который объединяет миллиарды физических объектов, или «вещей», подключенных к Всемирной сети. Они собирают данные и обмениваются ими с другими устройствами и системами через интернет.

Лампочка, которую можно включить с помощью приложения на смартфоне, датчик движения или умный термостат в вашем офисе – это устройства IoT.

Где используются устройства IoT?

Производство

Промышленный интернет вещей (Industrial IoT) используется в различных отраслях: логистика, нефть и газ, транспорт, энергетика, горнодобывающая промышленность, металлургия и авиация. Это сеть соединенных между собой датчиков и контроллеров, которые могут отслеживать, собирать и анализировать ценные сведения, а также обмениваться ими. Устройства промышленного интернета вещей автоматизируют и упрощают ручной труд.

Умный дом

Технология “умного дома” выводит комфорт и безопасность жилого или рабочего помещения на новый уровень. IoT позволяет создавать и развивать различные пользовательские сценарии. Такие устройства используют беспроводную сеть для связи между собой и подключения к единому центру управления – роутеру, смартфону и т.п.

Пример технологии – умные счетчики электроэнергии и воды, передающие показания вам на телефон или сразу в приложение для оплаты КУ. Или, например, камеры с удаленным доступом, позволяющие наблюдать за квартирой даже в отъезде.

Медицина и здравоохранение

С внедрения интернета вещей в здравоохранении началась эра расширенных возможностей. При подключении к интернету медицинское оборудование теперь может собирать важные данные и обмениваться ими с другими устройствами. Это позволяет поставщикам медицинских услуг и врачам получать дополнительную информацию о симптомах или новых тенденциях лечения. Кроме того, умные устройства уменьшили “бумажную” нагрузку на медицинских работников. Времени на пациентов стало больше.

Экосистемы цифрового здравоохранения включают в себя приложения для отслеживания состояния здоровья и активности, термометры, мониторы глюкозы, электрокардиограммы, ингаляторы и другие носимые устройства, позволяющие пациентам самостоятельно следить за здоровьем.

Устройства интернета вещей для больниц – это умные приборы расширенной диагностики, роботизированной хирургии. Сюда же относится медоборудование, снабженное датчиками отслеживания местоположения: инвалидные коляски, дефибрилляторы, небулайзеры, кислородные насосы и др. Также можно отслеживать местонахождение самих медработников.

В чем риск?

Эксперты Digital Security рассмотрели 100 громких случаев взлома IoT-устройств, произошедших за последние 6 лет. В выборку вошли кейсы с разной техникой – от умного будильника до электроавтомобиля.

Исследователи пришли к выводу, что более половины умных устройств (58%) имеют уязвимости среднего уровня риска, и еще 9% – высокого. То есть большинство устройств не обслуживались должным образом, работали с неисправленными ошибками безопасности или устаревшими прошивками.

Используя уязвимости, злоумышленник может получить доступ к корпоративным сетям, украсть конфиденциальную информацию и даже повлиять на промышленную среду и технологические процессы.

Уязвимости в устройствах умного дома дают киберпреступникам возможность контролировать домашние системы, компрометировать устройства безопасности (например, умные замки и IoT-термостаты) и даже настраивать устройства против своих владельцев.

Если такое устройство является частью корпоративной сети, злоумышленник может скомпрометировать всю информационную систему и получить таким образом доступ к критичной информации компании.

Умные устройства в сфере здравоохранения – особенно привлекательная цель для киберпреступника. Все из-за хранимой ими критичной информации – личных данных пациентов. Они могут быть использованы для шантажа, например, когда состояние здоровья пациента требует особой конфиденциальности ввиду особенности болезни или его личности. Преступник может пойти дальше и захватить контроль над медоборудованием, от которого зависит состояние больного.

Как защититься?

IoT-устройства, подключенные к интернету, создают реальные риски и угрозы. На рынке появляется все больше технологий, о безопасности которых производители не заботятся должным образом. А значит, для злоумышленников открываются новые возможности.

Базовые рекомендации по защите инфраструктуры от атак на “умные” устройства:

• Устанавливать обновления прошивок как можно скорее. Обнаруженные уязвимости чаще всего оперативно исправляют с помощью патчей.
• Обязательно менять предустановленные пароли: использовать сложные комбинации заглавных и строчных букв, цифр и символов, если это возможно.
• Использовать разные пароли для каждого устройства.
• Сегментировать IoT-устройства путем развертывания двух беспроводных подключений в доме, раздельной настройки устройств и отключения неисправной техники.
• Обращать внимание на популярные проекты, которые значительно повышают безопасность IoT-устройств, особенно «позабытых» вендорами.
• Компаниям следует проверять и тестировать свои устройства. Существуют специальные услуги, такие как анализ защищенности IoT и сетевых устройств.