Производители не обращают внимание на «дыры» в товарах с интернетом вещей

Бизнес не реагирует на проблемы с интернетом вещей Компании, производящие товары с использованием технологии интернета вещей (ИВ), часто игнорируют предупреждения об обнаруженных уязвимостях. Такими данными поделились эксперты Pen Test Partners. По их словам, в последние годы серьезные проблемы с обеспечением кибербезопасности были найдены в продукции ряда влиятельных корпораций, в том числе – Samsung, Mitsubishi и Amazon. Согласно политике ответственного раскрытия информации производителям, Pen Test Partners предупреждает компании об обнаруженных проблемах, чтобы дать им возможность исправить их, и только потом публикует результаты. «Мой опыт работы практически со всеми поставщиками интернета вещей, о которых мы когда-либо сообщали, свидетельствует о том, что, как правило, нас просто игнорируют, – рассказывает Кен Манро (Ken Munro), старший партнер Pen Test Partners , отвечающий за исследования в области кибербезопасности. – А ведь мы делали по два-три раскрытия в неделю на протяжении последних четырех лет. Но в ответ ничего не происходит, компании просто продолжают продавать свой продукт, получая прибыль, и делая своих клиентов уязвимыми».

Киберпреступник может удаленно включить пожарную сигнализацию для эвакуации из здания или запустить двигатель автомобиля «Сегодня интернет вещей переходит в разряд массовых технологий, – соглашается системный инженер Fortinet Юрий Захаров. – Широкое применение подобных устройств позволяет бизнесу получать дополнительную выгоду, а потребителю – комфорт в повседневной жизни. Однако важно понимать, что ИВ-устройства, подключенные к сети, могут представлять потенциальную опасность для информационных систем организаций, так как являются объектом возможной атаки злоумышленников. Производители ИВ-устройств не уделяют внимания защищенности своих продуктов. По сути, потребитель становится уязвим при использовании таких решений». Защитить ИВ-устройства можно юридически Аналитики напомнили, что интернет вещей широко используется в бизнес-контексте, например, в системах управления зданием, которые контролируют отопление, охлаждение, дверные замки и пожарную сигнализацию. Сотрудники Pen Test Partners сумели провести эксперимент, в ходе которого купили у официального производителя контроллер неназванной платформы и обнаружили в нем уязвимости, позволяющие обнаружить пароль сервера управления. Он позволил бы злоумышленнику получить полный контроль над системой управления зданием. «Сотни таких контроллеров были внедрены в организациях сторонними установщиками, – продолжает Кен Манро. – Они доступны удаленно, что означает, что киберпреступник может выполнить такие действия, как разблокировка двери и включение пожарной сигнализации для эвакуации из здания. Другой пример: наши исследования подтверждают, что более пяти миллионов автомобилей могут быть обнаружены, разблокированы, а их двигатель – удаленно запущен. Безопасность интернета вещей – это настоящая катастрофа». В качестве выхода эксперты предлагают задуматься не о технических, а о юридических инструментах воздействия на производителей уязвимого оборудования. Подобный прецедент создан в Норвегии, где небезопасный товар был запрещен к продаже в ряде сетей ритейлеров. «Существует мнение, что необходимо на уровне стандартов и законодательства закрепить хотя бы минимальные требования к информационной защищенности ИВ-устройств, поскольку на сегодняшний день часто происходит так, что когда производителям сообщают об уязвимостях их решений, они не принимают каких-либо корректирующих мер, – говорит Юрий Захаров. – Дополнительной мерой стимулирования к контролю качества продуктов в части их защищенности может стать право покупателя вернуть товар, если он оказался подвержен взлому». Ссылка на источник