Sigurnosni Izazovi Uređaja Interneta Stvari (IoT) u Poduzećima
U najnovijem izvješću stručnjaka za cyber sigurnost iz NCC Group, koje je naručila britanska vlada, istaknut je značajan problem vezan uz sigurnost uređaja Interneta Stvari (IoT) u poslovnom sektoru. Prema ovom izvješću, ovi uređaji predstavljaju ozbiljnu prijetnju sigurnosti podataka.
Briga Britanske Vlade
Britanska vlada izrazila je zabrinutost zbog ranjivosti ovih proizvoda, ističući da ranjivi uređaji mogu postati put za napadače da uđu u IT sustave poduzeća. U sklopu njihovih napora za rješavanje ovog problema i poboljšanje cyber otpornosti unutar britanske ekonomije, zatraženo je provođenje procjene ranjivosti nekih od najčešće korištenih povezanih uređaja u poduzećima.
Rezultati Procjene Ranjivosti
Rezultati su pokazali da britanska poduzeća imaju brojne razloge za zabrinutost. NCC Group je otkrio „brojne“ softverske i hardverske ranjivosti koje bi mogle omogućiti napade daljinskim izvršavanjem koda (RCE), čime bi napadači stekli punu kontrolu nad uređajem i mrežom. Jedan od većih problema bio je zastarjeli softver. Izvješće navodi da su nepodržana rješenja bila „raširena među uređajima“, a također se ističe da je jedan od analiziranih uređaja koristio bootloader star 15 godina.
Pristup Uređaju i Posljedice
Britanska vlada također je naglasila da bi u „glavnim slučajevima“ napadač s fizičkim pristupom uređaju mogao potpuno kompromitirati uređaj, instalirajući trajni backdoor za buduće napade. Većina testiranih uređaja radila je sve svoje procese kao visoko privilegiran „root“ korisnik, što znači da ne postoji granularnost pristupa, a posljedice probijanja sigurnosti mogle bi biti katastrofalne.
Opća Ranjivost IoT Uređaja
Ovi IoT uređaji nisu posebno jedinstveni, kao ni ranjivosti koje nose. Britanska vlada ih je opisala kao „općenito nesigurne“, posebice kada je riječ o konfiguraciji servisa, aplikacija ili značajki. Također su upozorili da je pridržavanje NCSC-ovih načela sigurnosti uređaja i ETSI EN 303 465 standarda bilo „mješovito“.
Zaključak
Izvješće NCC Group naglašava hitnu potrebu za poboljšanjem sigurnosnih standarda IoT uređaja u poduzećima. Poduzeća bi trebala poduzeti hitne mjere za osiguranje svojih sustava i uređaja, kako bi se smanjili rizici i osigurala zaštita podataka. Potrebno je raditi na ažuriranje softvera, implementaciju sigurnosnih mjera i Edukaciju zaposlenika o pravilnim postupcima kada je riječ o cyber sigurnosti.
