Трудно превзойти возможность сказать вашей звуковой системе, чтобы выбрать и воспроизвести определенную песню, или заказать что-то онлайн, используя только ваш голос, или заставить ваш холодильник сказать вам, когда у вас заканчивается еда, или заставить ваш офисный принтер диагностировать себя и автоматически требовать обслуживания от поставщика.
Подобные функции стимулируют спрос на умные офисы, умные дома, умную технику, умные здания и умные города-все это связано с Интернетом вещей (IoT).
IoT-это сеть физических объектов, оснащенных датчиками, программным обеспечением и другими технологиями для обмена данными с другими устройствами и системами через Интернет. К ним относятся встроенные системы, беспроводные сенсорные сети, системы управления, системы автоматизации дома и зданий, а также Умные домашние устройства, а также смартфоны и умные динамики.
По данным исследовательской компании Transforma Insights, в конце 2019 года в мире насчитывалось 7,6 миллиарда активных IoT-устройств, а в 2030 году их будет 24,1 миллиарда.
Accusoft - Нажмите для получения дополнительной информации!
Подключенные Плюшевые Мишки - Подождите, Что?
Несомненно, подстегиваемые необходимостью работать на дому в 2020 году, люди подключили множество некоммерческих устройств к своим корпоративным сетям. Некоторые из них предсказуемы, а другие могут быть неожиданными. Например, плюшевые мишки и другие игрушки, спортивное оборудование, такое как тренажеры, игровые устройства и подключенные автомобили, согласно отчету глобальной кибербезопасности Palo Alto Networks за 2020 год IoT Security Report.
Растущее число и разнообразие устройств, подключенных к сетям интернета вещей, все больше затрудняет внедрение кибербезопасности, поскольку каждое устройство является потенциальным слабым местом.
Например, можно взломать большое количество подключенных автомобилей, чтобы закрыть города, вызвав тупик.
Умные здания и даже города могут быть взломаны, чтобы скомпрометировать автоматизированные системы, управляющие системами ОВКВ, пожарной сигнализацией и другой критической инфраструктурой.
Цифровые злоумышленники, как сообщается, проникали в дома через умные термостаты, чтобы терроризировать семьи, дистанционно включая отопление, а затем разговаривая с жителями через камеры, подключенные к интернету.
Последствия взлома, вероятно, будут наиболее серьезными в сфере здравоохранения, где отказ оборудования или угон будут угрожать жизни людей.
"Подключенных медицинских устройств-с поддержкой WiFi инфузионные насосы для машины смарт МРТ, повышающие уязвимость устройств обмена информацией и создания проблем безопасности, в том числе конфиденциальности риски и потенциальное нарушение правил приватности", - писал Анастасий Arampatzis, автор для поставщика безопасности растяжку.
Держа ноги СЕО у огня
Итак, кто будет отвечать за кибербезопасность в Сети интернета вещей? Продавцы индивидуальных приборов или оборудования? Кто владеет или управляет сетью? Компания или организация, использующая сеть Интернета вещей?
Глобальная исследовательская и консалтинговая фирма Gartner прогнозирует, что к 2024 году 75 процентов генеральных директоров будут нести личную ответственность за атаки на то, что Gartner называет киберфизическими системами (CPSs).
Gartner определяет CPSs как "системы, которые предназначены для организации зондирования, вычислений, управления, сетей и аналитики для взаимодействия с физическим миром, включая людей."
Эти системы "лежат в основе всех связанных ИТ, операционных технологий (OT) и Интернета вещей (IoT), где соображения безопасности охватывают как кибер -, так и физический миры, такие как ресурсоемкая, критическая инфраструктура и клинические медицинские среды."
От состоит из аппаратного и программного обеспечения, которое обнаруживает или вызывает изменения в промышленном оборудовании, активах, процессах и событиях посредством прямого мониторинга и/или контроля.
Другими словами, к 2024 году 75% руководителей компаний могут быть привлечены к ответственности за сбои в системе безопасности Интернета вещей.
Почему Именно Генеральные Директора? Потому что регулирующие органы и правительства резко увеличат нормы и правила, регулирующие CPSs, в ответ на рост серьезных инцидентов, вызванных неспособностью обеспечить безопасность CPSs, писал вице-президент Gartner research Кателл Тилеманн. "Скоро руководители компаний не смогут ссылаться на невежество или отступать за страховые полисы."
Привлечение генеральных директоров к ответственности "является определенной возможностью и согласуется с тем, как генеральные директора несут ответственность за точность и законность своих финансовых аттестаций в соответствии с законом Сарбейнса-Оксли 2002 года", - сказал Перри Карпентер, главный евангелист и стратег учебной фирмы KnowBe4 по повышению осведомленности о безопасности.
Закон Сарбейнса-Оксли был создан для борьбы с корпоративным мошенничеством.
Национальная ассоциация корпоративных директоров (NACD) "понимает, что кибербезопасность и, как следствие, кибербезопасность должны быть вопросом, который даже поднимается на уровень Совета директоров",-сказал Карпентер. - Он издал руководство, как это сделать."
Компании могут покупать киберстрахование, но полисы киберстрахования "печально известны тем, что не выплачиваются, если компания не соответствует высокой планке качества безопасности",-заметил Карпентер.
Кроме того, "регулирующие органы не будут спешить предлагать легкие выходы для генеральных директоров и компаний, которые могут быть явно небрежны."
Возможен ли риск-ориентированный подход?
Среди предприятий наблюдается тенденция к принятию риск-ориентированного подхода к кибербезопасности, обнаружила консалтинговая компания McKinsey & Co., но это не обеспечит генеральных директоров полной защитой.
Риск-ориентированные подходы к информационной безопасности позволяют организациям принимать стратегии, адаптированные к их уникальной операционной среде, ландшафту угроз и бизнес-целям, согласно CDW, которая предоставляет технологические решения для бизнеса, правительства, образования и здравоохранения в США, Великобритании и Канаде.
Они позволяют адептам "понять воздействие усилий по снижению рисков, обеспечивая всестороннее представление о риске и заполняя пробелы, которые могут быть оставлены другими подходами к безопасности. Использование риск-ориентированного подхода хорошо вписывается в стратегии корпоративного управления рисками (ERM), принимаемые многими организациями."
- Риск всегда является частью уравнения, - сказал Карпентер. "Проблема возникает, когда организации или руководители имеют неприемлемо высокую терпимость к риску или просто предпочитают прятать голову в песок."
Общепризнано, что полностью защищенной системы не существует, поэтому не будет ли чрезмерным возложение ответственности на генеральных директоров за провал CPS?
"Дело не в том, чтобы иметь 100-процентную защиту, - сказал Карпентер, - а скорее в том, чтобы обеспечить надлежащую должную заботу о том, как создаются системы. Руководители компаний не могут просто поднять руки и использовать [тот факт, что 100-процентной безопасности не существует] в качестве оправдания, они должны строить с учетом безопасности и устойчивости."
Указующие Персты Не Так Просты
Несмотря на возможные параллели с актом Сарбейнса-Оксли, вопрос о виновности будет нелегко решить.
"В конечном счете генеральный директор несет ответственность за функционирование своей организации, но реальность более тонка, чем просто "доллар останавливается здесь", - сказал Сарью Найяр, генеральный директор глобальной компании по кибербезопасности Gurucul, в интервью TechNewsWorld.
"Кибератаки сложны и часто включают в себя много движущихся частей", - сказал Найяр. "Возложение ответственности на генерального директора, потому что они являются генеральным директором, может быть неуместным."
Тем не менее, руководители компаний должны нести личную ответственность, если они не устанавливают высокий стандарт для своих групп безопасности или не обеспечивают его достижение, отметил Найяр.
Пока неясно, кто будет или должен нести ответственность, сказал TechNewsWorld Сальваторе Столфо, основатель и главный технический директор Allure Security, приложения security-as-a-service, которое защищает от фишинговых мошенников.
"Это руководители компаний, которые производят небезопасные устройства Интернета вещей, или руководители компаний, которые покупают и внедряют их?" - спросил он. "В действующем законодательстве нет четкого определения того, кто теоретически несет ответственность."
Альтернативой персональной ответственности генеральных директоров было бы принятие рекомендации Комиссии по киберпространству (CSC) о привлечении производителей устройств Интернета вещей к ответственности за продажу дефектных продуктов или непредоставление основных функций безопасности, включая возможность обновления программного обеспечения устройств, когда уязвимости безопасности становятся известными, как это рекомендовано, предложил Столфо.
Это одна из 80 рекомендаций, сделанных CSC, которая была создана в 2019 году для выработки консенсуса в защите США в киберпространстве.
Как сделать Сети интернета вещей более безопасными
Palo Alto Networks рекомендует следующие шаги для обеспечения безопасности сетей Интернета вещей:
Используйте функцию обнаружения устройств, чтобы получить подробную и актуальную информацию о количестве и типах устройств, подключенных к вашей сети Интернета вещей, их профилях рисков и доверенном поведении;
Сегментируйте свою сеть, чтобы содержать устройства Интернета вещей в своих собственных строго контролируемых зонах безопасности, отделяя их от ИТ-активов;
Примените методы безопасного пароля, заменив пароль по умолчанию для вновь подключенных устройств Интернета вещей на безопасный пароль, соответствующий корпоративным политикам паролей;
Продолжайте исправлять и обновлять прошивку, когда это возможно; и
Активно контролируйте устройства Интернета вещей в любое время.
Защита IoT-сетей требует сочетания покупки продуктов, которые являются безопасными по дизайну, и принятия целостного подхода к безопасности, сказал Андреа Каркано, соучредитель operational technology (OT) и IoT security firm Nozomi Networks, в интервью TechNewsWorld.
"ИТ-специалисты больше не могут просто беспокоиться о безопасности и связности своих ИТ-сетей", - сказал Каркано. - Они должны думать о безопасности своих кибер-и физических систем."
