ФБР рекомендует изолировать устройства «интернета вещей»

В связи с неудовлетворительно низким уровнем безопасности техники «интернета вещей» ФБР США рекомендует полностью изолировать такие устройства от глобальной сети. Об этом сообщается на официальном сайте ведомства.

ФБР сообщает, что большинство техники «интернета вещей» обладает крайне низким уровнем безопасности. В частности, ведомство беспокоят уязвимости в UPnP, жестко закодированные логины и пароли, слабые пароли по умолчанию, а также отказ в обслуживании. Агентство верит, что из-за подобных брешей устройства могут причинить как физический вред конечным потребителям, так и нанести ущерб бизнес-операциям корпоративных пользователей.

Ведомство считает, что во избежание потенциальных инцидентов безопасности следует не давать устройствам «интернета вещей» выходить в интернет. «Изолируйте устройства в отдельных защищенных сетях», - говорится в рекомендации. Помимо этого, ФБР советует отключить UPnP, особенно на маршрутизаторах, и регулярно следить за обновлениями встроенного ПО.

Количество устройств «интернета вещей» постоянно растет. По данным исследователей из Gartner, к 2020 году в мире будет как минимум 25 млрд единиц техники с интернет-функциональностью. В то же время, по данным PricewaterhouseCoopers, более 70% всех устройств содержат серьезные уязвимости. В продукции большинства производителей отсутствуют даже элементарные методы обеспечения безопасности.

«Устройства «интернета вещей» на самом деле не просто «вещи», - считает глава отдела кибербезопасности компании PwC Switzerland Ян Шройдер (Jan Schreuder). – Эти приборы записывают каждый элемент нашей реальной жизни вдобавок к цифровой. Стандарты и законы по обеспечению безопасности физических продуктов постоянно совершенствовались, и этот же путь предстоит пройти законам и стандартам по обеспечению цифровой безопасности.»

Согласно заявлению ФБР, вся ответственность за причиненный вследствие неправильной эксплуатации устройств отныне будет возлагаться непосредственно на пользователя, а не на производителей.

Противоположной точки зрения придерживается генеральный директор High-Tech Bridge Илья Колошенко. Он считает, что обязанности по обеспечению безопасности устройств «интернета вещей» должны ложиться на плечи производителей, а не простых пользователей. Он привел пять базовых советов, соблюдая которые, удастся значительно повысить степень защищенности продуктов.

В первую очередь, производителям следует считать локальные сети враждебным окружением. Многие компании считают, что если к их устройствам нет прямого доступа из интернета, то нет нужды переживать за их безопасность. Даже крупные ИБ-компании игнорируют угрозы в локальных сетях, разрабатывая свои продукты так, как будто никому не придет в голову их взломать. К сожалению, такая концепция крайне ошибочна - с учетом повышения популярности вредоносного ПО для мобильных устройств в сочетании с практически необнаружаимыми вредоносами для ПК локальная сеть стала крайне опасным и недоверенным сегментом сети. В связи с этим Колошенко предлагает подвергать внутренние сети таким же проверкам, как и внешние, а все подключенные устройства считать потенциально скомпрометированными.

Эксперт предложил всегда разделять компьютерные системы с умными устройствами на два сегмента: основной (необходимый для обеспечения работоспособности) и дополнительный, зависящий от основного. Устройства в дополнительном сегменте получают данные от основного сегмента, после чего обрабатывают и передают их в интернет. Основная система должна быть настроена таким образом, чтобы не принимать вредоносных входных данных от удаленных пользователей с дополнительных устройств.

Устройства «интернета вещей» должны обладать функцией простого сброса данных и настроек. Нажав одну кнопку на аппарате, пользователь сможет переустановить заводскую прошивку со стандартными настройками. Таким образом владельцы устройств смогут быстро восстановиться после различных атак и вирусных инфекций.

Специалист предложил ввести финансовую ответственность производителей за безопасность изготовленных ими устройств. Таким образом удастся заставить компании соблюдать стандарты программирования и безопасности, а также ввести принудительную проверку безопасности перед развертыванием продуктов.

Последнее правило заключается в том, чтобы производители объясняли пользователям, какие именно данные они собирают, где хранят и куда передают. Для каждой функции, связанной с передачей данных, должен быть четкий и понятный механизм отключения. Это связано с тем, что некоторые невинные на первый взгляд данные могут использоваться против владельцев устройств - например, в целенаправленной рекламе. К тому же, хакеры могут в любое время перехватить передаваемые по интернету данные.

Эксперт отметил, что специально исключил из списка автоматические обновления. В случае компрометации ресурсов производителя хакерами все устройства с включенным автообновлением могут пострадать, из-за чего специалист предпочитает доверять ручному обновлению.