Nola ziurtatu IoT
1. irudia: kontsumorako IoT segurtasunerako praktiken kodea Iturria: Kultura Digitaleko, Media eta Kirol Saila
IoT hedatzen ari da, gaur egun IoT erakundeen% 66 inguru eta 17 mila milioi gailu inguruko instalazio bat erabiltzen dute.
Gartner analista enpresak uste du gastua% 1,5 milioi dolarrekoa dela 2018an eta 3 milioi dolar baino gehiagora 2020raino 30.000 milioi gailu baino gehiagorekin igotzea dela uste duela, 2025 milioi igaro arte.
Duela gutxi arte, IoT gailuak eta sistemak ziber segurtasuna zituzten arau edo araudi gutxi zeuden. Informazio tradizionalak eta ziber segurtasunaren inguruko planteamenduak, hala nola ISO 27001 eta NIST Ziber Segurtasunaren Esparruak, enpresetarako diseinatu ziren, eta garrantzitsuak izan arren, ez dute IoT segurtasun eraginkorra lortzeko beharrezko orientazioa.
IoT cyber gertakariak
Beste arazo bat da IoT gailuak garatzeko eta merkaturatzeko presarik, produktu horietako askok segurtasun neurri eraginkorrik ez zutela. Ondorioz, garatutako irtenbide ugari ez dira seguruak eta segurtasun ahultasun irekiak dituzte.
Gartner 2018 inkestaren arabera, erakundeen% 20k gutxienez IoT-en erasoa ikusi du azken hiru urteetan. Horiek 2016an Mirai botnet-a sartu zuten, hala nola CCTV kamerak eta etxeko bideratzaileek gailu ahuleziak arriskuan jartzen zituztenak. Zerbitzu horien ukapen banatuaren erasoak egiteko erabiltzen zen (DDoS), besteak beste, zenbait zerbitzu nagusi Interneten zerbitzuak izan ziren. ez dago erabilgarri Europako eta AEBetako erabiltzaileentzat.
Beste eraso batean, bezeroaren datuak kasino batean lapurtu zitzaizkion arrain-depositu batean internet bidez konektatutako termometro ezegonkor baten bidez.
Azken bi urteetan, Brickerbot malware-k segurtasun eskasa duten eta firmwarea gainidazten duten ausazko datuekin infektatzen ari dira, ausazko datuak erabiliz eta gailuak alferrik galtzen dituela.
Defentsa anitz
2018ko irailean, California-k zuzenean edo zeharka Internetera konektatzen den gailu baten edozein fabrikatzaileak "segurtasun arrazoizko" funtzioak hornituko dizkion lege bat onartu du, baimenik gabeko sarbidea eta aldaketak ekiditeko diseinatuta. Estatu Batuetako legegile federalek gutxienez bost proiektu cyber-segurtasun legegintzako proposamen proiektu dituzte.
EBk praktika onenen gidaliburua eta segurtasun baldintzak argitaratu ditu eta Kulturako, Komunikabideetako eta Kirol Saileko Erresuma Batuan Praktika Kode bat argitaratu dute urrian Kontsumitzailearen Ipoaren Segurtasunerako. Horrek 13 jarraibide bultzatzen ditu IoT segurtasun egokia (1 irudia).
EB zabalagoan, ENISAk (Sareko eta Informazioaren Segurtasunerako Europar Batasuneko Agentzia) oinarrizko segurtasun gomendioak argitaratu ditu IoTrako azpiegitura nazional kritikoei arreta berezia emanez. Industria-ekimenek IoT Security Foundation-en Praktika Kodea sartu dute, IoT segurtasunari buruzko ziurtapen eta ziurtapenerako oinarria eskaintzen duena.
Irteeran ona izan arren, arazoa da EBn bereziki praktika horiek ez direla derrigorrez. Erregulatzaileek behar dute pragmatikoki aplikatu beharreko arau eta praktika eraginkorrak nola egin behar diren. IoT gailuen fabrikatzaileen zeregina da produktuak "diseinu segurua eta lehenetsiak direla" ziurtatzea.
Historikoki, industriak segurtasun arauak hartu ditu motela, eta arau beharra dago. Merkatu aktibo horrekin, saltzaileak segurtasuna aldatu dezakete gastu izatetik eta abantaila lehiakorrean. Praktika onak borondatez hartu ezean, erreakzio gehiegizkoa eragin dezake, erregulazio murriztailea eta zorrotzak inposatuz. IoT-aren egiaztapen edo egiaztapen formalak nahiko urrun badira ere, hornitzaileek beren produktuak eta zerbitzuak ziurtatu behar dituzte. Hornitzaileek segurtasunik gabeko frogarik dituzten gailuak eta sistemak eskaintzeko aitzakiarik ez dago.
IoT kontsumitzaileek, gainera, produktuek espero dituzten segurtasun baldintzei buruzko zorrotzagoa izan behar dute eta eskaintzen zaizkion egiaztatzeko prest egon behar dute. Horrek hornitzaileei benetako pizgarriak emango dizkio segurtasunaren arabera diseinua eta lehenetsia sartzeko.
2. irudia: IoT-n konfiantza eta segurtasuna bermatzea
Produktu indibidualak segurtasunez ziurtatuta egon arren edo ziurtatutakoa end-to-end irtenbidea ez da beharrezkoa izango. IoT irtenbideak integratzen edo erabiltzen dituzten erakundeak ziur egon behar dute segurtasunarekin. Honek segurtasuna eta negozioa arriskuak ulertzea dakar, amaieran end-to-end arkitektura segurua bermatuz, eta probak egin dira datuen pribatutasun baldintzak guztiak betetzen (2. irudia).
IODak enpresa onurak eskaintzen ditu, baina fabrikatzaileak, kontsumitzaileak eta erregulatzaileak segurtasun egokia eskaintzeko behar dute.
