Những Rủi Ro Của IoT Thiếu Bảo Mật
Nguồn: Bsquare Corporation, Iotforall.com, 2022
Theo công ty bảo hiểm Lloyds của Anh, các công ty đang mất hơn 400 tỷ USD mỗi năm vì tội phạm mạng. Đây có phải là điều tồi tệ nhất? Thực tế đó chỉ là phần nổi của tảng băng chìm. Khi bạn tính đến tất cả số tiền và dữ liệu bị đánh cắp mà không được báo cáo hoặc hoàn toàn không được chú ý, bạn sẽ thấy tổn thất trên quy mô toàn cầu do rủi ro bảo mật thiết bị gần như không thể hiểu được.
Và nó chỉ trở nên tồi tệ hơn chứ không phải tốt hơn.
Mặc dù tất cả chúng ta ngày càng trở nên kết nối với nhau hơn và IoT cho phép các quy trình kinh doanh và hệ thống trở nên kết nối hơn, nhưng tin tặc đang nhắm vào các điểm yếu trong các hệ thống này ở mức đáng báo động.
Ngoài việc ăn cắp tiền trực tiếp, việc để các thiết bị được kết nối của bạn không được bảo mật hoặc dễ bị tấn công có thể dẫn đến những rủi ro sau:
– Thiệt hại về danh tiếng – Đây là một rủi ro đáng kể đối với các công ty đầu tư hàng triệu USD vào chăm sóc khách hàng. Trang web có thể bị xóa, nhắm mục tiêu khách hàng, dữ liệu cá nhân bị rò rỉ, v.v.
– Rủi ro An toàn – Bất cứ điều gì liên quan đến an toàn đều có ý nghĩa quan trọng đối với các công ty sử dụng hệ thống giám sát tự động cho các quy trình, thiết bị hoặc máy móc của họ.
– Mất dịch vụ và sản xuất – Nếu bạn không thể giúp khách hàng, truy cập dữ liệu của mình hoặc vận hành thiết bị và quy trình, bạn sẽ phải trả rất nhiều tiền.
– Điểm yếu – Nó có thể tạo ra một điểm yếu trong toàn bộ hệ thống của bạn, sau đó có thể được sử dụng để truy cập dữ liệu nhạy cảm.
– Dữ liệu Cá nhân – Điểm yếu có thể làm lộ dữ liệu cá nhân và dữ liệu nhạy cảm có thể được truy cập và sử dụng.
Trong một ví dụ giật gân về việc tiết lộ và sử dụng một liên kết yếu trong hệ thống, tin tặc đã sử dụng bể cá để đánh cắp dữ liệu từ một sòng bạc ở Bắc Mỹ. Giờ đây, các sòng bạc nổi tiếng với mức độ bảo mật cao, nhưng trong trường hợp này, đó là một bể cá thông minh được kết nối trực tuyến để theo dõi nhiệt độ và cho ăn, được chứng minh là mắt xích yếu nhất trong chuỗi.
Tin tặc đã giành được quyền truy cập vào bể cá và từ đó, mạng sòng bạc, sau đó chúng đánh cắp hơn 10 gigabyte dữ liệu trước khi vi phạm bị phát hiện.
Vì vậy, bạn có thể làm gì để giải quyết những rủi ro này? Bạn sẽ ngạc nhiên về mức độ mà bạn có thể làm được!
Cách đảm bảo thiết bị của bạn được an toàn
Có nhiều cách khác nhau để giảm thiểu rủi ro bảo mật thiết bị và nhiều cách trong số đó không chỉ đơn giản mà còn hiệu quả.
Đặt bảo mật thành ưu tiên
Ngay từ đầu, việc ưu tiên bảo mật nên được đặt lên hàng đầu trong mọi danh sách kiểm tra. Kết hợp bảo mật ở mọi bước, từ thiết kế sản phẩm đến triển khai, là điều quan trọng.
3 điều hàng đầu mà các nhà thiết kế nên cân nhắc khi xây dựng một thiết bị mới:
– Thiết kế của thiết bị – Thiết kế của thiết bị sẽ ảnh hưởng như thế nào đến bảo mật của thiết bị?
– Triển khai – Thiết bị sẽ được sử dụng ở đâu và như thế nào?
– Hoạt động – Thiết bị được sử dụng và truy cập như thế nào, và ai có quyền truy cập vào thiết bị đó?
Tạo kịch bản mô hình hóa mối đe dọa
Mô hình hóa mối đe dọa là một cách tiếp cận từng bước có cấu trúc để xác định và ưu tiên mọi mối đe dọa tiềm ẩn đối với hệ thống của bạn. Ví dụ, thiết bị sẽ ở đâu và ai có quyền truy cập vào thiết bị đó? Dữ liệu được lưu trữ ở đâu và được truy cập như thế nào?
Khi các mối đe dọa được xác định, bạn sẽ kiểm tra mọi khả năng giảm thiểu các mối đe dọa đó, đánh giá chi phí và hiệu quả của chúng và xác định cách bạn sẽ triển khai các giải pháp nhanh chóng nếu mối đe dọa đó được nhận ra.
Tạo chính sách tiết lộ lỗ hổng bảo mật
Việc tạo ra một chính sách công bố thông tin dễ bị tổn thương có thể hiệu quả và có giá trị. Họ tận dụng thông tin mà các nhà nghiên cứu bảo mật và tin tặc có đạo đức tìm thấy và cung cấp cách để họ truyền đạt những điểm yếu trong hệ thống của bạn. Sau khi các điểm yếu tiềm ẩn được xác định và thông báo, bạn có thể xoay vòng nhanh chóng để khắc phục sự cố, theo dõi và giám sát tất cả các mối đe dọa, sau đó cảm ơn nhóm đã giúp bạn xác định vấn đề.
Bạn có muốn một người có đạo đức xác định các mối đe dọa tiềm ẩn trước khi một người có ý định xấu làm vậy không?
Theo dõi vòng đời của thiết bị
Việc cài đặt và triển khai thành công không phải là nơi mà quá trình giám sát của bạn kết thúc. Nó phải là sự khởi đầu! Điều quan trọng là phải theo dõi vòng đời của các thiết bị của bạn và đảm bảo rằng chúng thường xuyên được cập nhật, bảo trì và giám sát khi chúng hết tuổi thọ và không còn có thể được cập nhật để đáp ứng các mối đe dọa và yêu cầu bảo mật hiện tại.
Xem xét liệu các thiết bị có thể được sửa chữa hoặc cập nhật trong nhà hay không hoặc liệu các thiết bị đó có cần phải được gửi ra ngoài để sửa chữa hoặc cập nhật hay không. Điều gì xảy ra với thiết bị đó khi nó hết tuổi thọ? Thông thường, tin tặc giành quyền truy cập vào hệ thống bằng cách khôi phục các thiết bị cũ vẫn có quyền truy cập vào hệ thống. Đảm bảo rằng bạn có chính sách để xóa các thiết bị cũ và vứt bỏ chúng một cách an toàn.
Không bao giờ sử dụng mật khẩu mặc định
Bất cứ khi nào bạn thiết lập một thiết bị mới, bạn sử dụng mật khẩu nào? Thật dễ dàng để thiết lập thiết bị bằng mật khẩu và tên người dùng mặc định, đặc biệt là trong các trường hợp nhạy cảm về thời gian hoặc nếu bạn đang cài đặt nhiều thiết bị cùng một lúc trong quá trình nâng cấp.
Tin tặc liên tục tìm kiếm các thiết bị như máy in và máy quét, những thiết bị này đã được tích hợp vào một hệ thống sử dụng tên người dùng và mật khẩu mặc định.
Trong một trường hợp, hơn 28.000 máy in không bảo mật đã được truy cập để chứng minh tầm quan trọng của việc bảo mật tất cả các thiết bị. Sau đó, các máy in được hướng dẫn in ra một bản hướng dẫn dài năm trang về tầm quan trọng của việc bảo mật tất cả các thiết bị được kết nối với mạng.
Rủi ro của việc phát triển IoT thiếu bảo mật | Sự kết luận
Giải quyết các rủi ro về bảo mật thiết bị sớm sẽ mang lại lợi ích về lâu dài. Phần tốt nhất của một hệ thống bảo mật hiệu quả là bạn sẽ không bao giờ biết nó đã tiết kiệm cho bạn bao nhiêu vì bạn sẽ không phải đối phó với những vi phạm đắt đỏ đối với hệ thống của mình.
An ninh mạng trên toàn thế giới đang nhanh chóng chuyển từ “nên làm” sang “phải làm” khi các chính phủ thực hiện các hành vi an ninh mạng như Đạo luật về quyền riêng tư ở Hoa Kỳ, Quy định chung về bảo vệ dữ liệu (GDPR) ở Liên minh Châu Âu, Yêu cầu Cơ bản về An ninh mạng của ETSI và Đạo luật Tăng cường An ninh mạng của Mỹ.
Cuối cùng, an ninh mạng tốt hơn tạo ra trải nghiệm người dùng (UX) tốt hơn, đồng nghĩa với việc khách hàng hạnh phúc hơn và hài lòng hơn, điều này cuối cùng dẫn đến tăng lợi nhuận và giảm chi phí.