Обзор новостей IoT: атаки на устройства Интернета вещей и законы о его защите
Прослушать текст«Лаборатория Касперского» отчиталась о троекратном росте количества вредоносного ПО, атакующего IoT, в первом полугодии 2018 года против всего 2017-го. Этот тренд в своей публикации эксперты лаборатории
окрестили «чем дальше, тем хуже».
Почему это важно?
Исследование «Лаборатории» представляет собой наглядный срез текущей ситуации с безопасностью IoT. В трех из четырех случаев для атак и заражения устройств использовался перебор паролей – и, скорей всего, так оно будет и дальше. Это проще, чем эксплуатация каких-либо уязвимостей в ПО умных устройств.
В основном среди зараженных устройств оказались широко распространенные и многочисленные маршрутизаторы и IP-камеры. 33 «одержимые» посудомоечные машины стали исключением. Как и в случае с перебором паролей, злоумышленники идут по пути наименьшего сопротивления: в прошивках камер и роутеров есть уже найденные уязвимости и даже готовые proof-of-concept эксплойты к ним есть. Соответственно, хакеры тратят минимум усилий и могут получить под контроль большое количество устройств. Для других же типов умных устройств уязвимости найти сложнее.
Что мне с этого?
Если резюмировать выводы исследования, то самой актуальной простой защитой от IoT-зловредов является замена паролей и обновление прошивки своих сетевых устройств. И умных устройств тоже – но это, можно сказать, не к спеху. Но чем больше умной техники заводится в домах, тем выше к ним интерес и больше смысла их заражении. Если через месяц в каждом доме будет стоять умный холодильник с доступом в интернет и простым паролем на доступ, то через пару месяцев, вероятно, все они уже будут не только охлаждать то, что внутри них, но и, добывая криптовалюту, отапливать помещение, в котором стоят, констатирует один из авторов исследования, антивирусный эксперт «Лаборатории Касперского» Михаил Кузин.
Доля атак через эксплуатацию уязвимостей, вероятно, будет увеличиваться, т.к. злоумышленники добавляют все больше и больше эксплойтов в своих троянцев, но вряд ли она обгонит по популярности перебор пароля в ближайшем будущем. В целом сегодня владельцы умных устройств, как и прежде, все еще могут позволить и позволяют себе такую роскошь как неосведомленность или лень в отношении закрытия уязвимостей собственных гаджетов. Этот тренд меняется очень медленно.
В США взялись за безопасность Интернета вещей на законодательном уровне. Два законопроекта готовят федералы, а в Калифорнии подписи губернатора ожидает документ, устанавливающий стандарты кибербезопасности для подключенных устройств в штате – на самом общем уровне. В будущем он может заложить основу для усиления федерального законодательства в сфере кибербезопасности IoT.
Почему это важно?
Отдавать вопрос безопасности IoT только в руки вендоров – означает рисковать, т.к. корпорации заняты только достижением своих коммерческих целей, и прибавить им ответственности можно только извне на уровне госрегулирования. Законодатели Запада медленно, но верно подбираются к Интернету вещей, реальность которого уже не подлежит сомнению.
На текущий момент калифорнийский законопроект определил достаточно требований, уверен Кирилл Нефедов, директор по развитию бизнеса компании Perenio IoT spol.s.r.o. в России. По его мнению, эти стандарты создадут правовую основу в США. Так как Штаты являются пионером в области формирования правовых норм, то они, вероятно, определят направление развития рынка IoT и формирования дальнейших законодательных инициатив во всем мире.
Появляющееся правовое регулирование вводится в достаточно обобщенных формах и не учитывает специфику систем. Законодатель еще не понимает, как будет развиваться процесс, и будет регулировать его в соответствии с новыми реалиями. Эволюция IoT, несомненно, потребует более точных формулировок.
Что мне с этого?
Появление правового регулирования IoT в России – дело ближайшей перспективы. Подготовка правовой базы уже идет, велики шансы увидеть проект соответствующего закона в течение года. Для IoT-сфер с повышенными требованиями безопасности (автотранспорт, промышленность, логистические комплексы, учебные заведения) будут разработаны отдельные правовые стандарты и созданы специальные ведомства.
Сейчас основная сложность законодательного регулирования безопасности IoT состоит в отсутствии единых стандартов. После появления правовой базы самым сложным аспектом станут обработка и хранение персональных данных.
Подписаться на новости
Почему это важно?
Исследование «Лаборатории» представляет собой наглядный срез текущей ситуации с безопасностью IoT. В трех из четырех случаев для атак и заражения устройств использовался перебор паролей – и, скорей всего, так оно будет и дальше. Это проще, чем эксплуатация каких-либо уязвимостей в ПО умных устройств.
В основном среди зараженных устройств оказались широко распространенные и многочисленные маршрутизаторы и IP-камеры. 33 «одержимые» посудомоечные машины стали исключением. Как и в случае с перебором паролей, злоумышленники идут по пути наименьшего сопротивления: в прошивках камер и роутеров есть уже найденные уязвимости и даже готовые proof-of-concept эксплойты к ним есть. Соответственно, хакеры тратят минимум усилий и могут получить под контроль большое количество устройств. Для других же типов умных устройств уязвимости найти сложнее.
Что мне с этого?
Если резюмировать выводы исследования, то самой актуальной простой защитой от IoT-зловредов является замена паролей и обновление прошивки своих сетевых устройств. И умных устройств тоже – но это, можно сказать, не к спеху. Но чем больше умной техники заводится в домах, тем выше к ним интерес и больше смысла их заражении. Если через месяц в каждом доме будет стоять умный холодильник с доступом в интернет и простым паролем на доступ, то через пару месяцев, вероятно, все они уже будут не только охлаждать то, что внутри них, но и, добывая криптовалюту, отапливать помещение, в котором стоят, констатирует один из авторов исследования, антивирусный эксперт «Лаборатории Касперского» Михаил Кузин.
Доля атак через эксплуатацию уязвимостей, вероятно, будет увеличиваться, т.к. злоумышленники добавляют все больше и больше эксплойтов в своих троянцев, но вряд ли она обгонит по популярности перебор пароля в ближайшем будущем. В целом сегодня владельцы умных устройств, как и прежде, все еще могут позволить и позволяют себе такую роскошь как неосведомленность или лень в отношении закрытия уязвимостей собственных гаджетов. Этот тренд меняется очень медленно.
В США взялись за безопасность Интернета вещей на законодательном уровне. Два законопроекта готовят федералы, а в Калифорнии подписи губернатора ожидает документ, устанавливающий стандарты кибербезопасности для подключенных устройств в штате – на самом общем уровне. В будущем он может заложить основу для усиления федерального законодательства в сфере кибербезопасности IoT.
Почему это важно?
Отдавать вопрос безопасности IoT только в руки вендоров – означает рисковать, т.к. корпорации заняты только достижением своих коммерческих целей, и прибавить им ответственности можно только извне на уровне госрегулирования. Законодатели Запада медленно, но верно подбираются к Интернету вещей, реальность которого уже не подлежит сомнению.
На текущий момент калифорнийский законопроект определил достаточно требований, уверен Кирилл Нефедов, директор по развитию бизнеса компании Perenio IoT spol.s.r.o. в России. По его мнению, эти стандарты создадут правовую основу в США. Так как Штаты являются пионером в области формирования правовых норм, то они, вероятно, определят направление развития рынка IoT и формирования дальнейших законодательных инициатив во всем мире.
Появляющееся правовое регулирование вводится в достаточно обобщенных формах и не учитывает специфику систем. Законодатель еще не понимает, как будет развиваться процесс, и будет регулировать его в соответствии с новыми реалиями. Эволюция IoT, несомненно, потребует более точных формулировок.
Что мне с этого?
Появление правового регулирования IoT в России – дело ближайшей перспективы. Подготовка правовой базы уже идет, велики шансы увидеть проект соответствующего закона в течение года. Для IoT-сфер с повышенными требованиями безопасности (автотранспорт, промышленность, логистические комплексы, учебные заведения) будут разработаны отдельные правовые стандарты и созданы специальные ведомства.
Сейчас основная сложность законодательного регулирования безопасности IoT состоит в отсутствии единых стандартов. После появления правовой базы самым сложным аспектом станут обработка и хранение персональных данных.
Обсудить
Назад
