Безпека даних користувачів Інтернету речей під загрозою

Сьогодні тенденція онлайн-підключення телевізорів, годинників, побутової техніки та навіть лампочок набирає обертів, а пристрої з підтримкою мережі Інтернет стають важливою частиною нашого повсякденного життя. У прагненні до більш продуктивного і зручного, а інколи навіть простішого життя стрімке збільшення використання Інтернету речей (Internet-of-Things) неминуче. За попередніми прогнозами, до 2020 року кількість підключених до Інтернету пристроїв зросте до 30 мільярдів.

Разом із інноваціями в галузях апаратного програмного забезпечення, управлінні хмарними та великими даними, машинному навчанні, IoT також вже впроваджується у багатьох галузях промисловості, зокрема і в критичній інфраструктурі. Різні галузі інвестують у використання промислового Інтернету речей (Industrial Internet-of-Things) для підвищення ефективності інфраструктури, енергоуправління, охорони здоров'я та комунальних послуг.

У той же час підключення до мережі Інтернет усіх цих пристроїв або систем, від домашньої смарт-техніки до промислових приладів, спричинило виникнення ряду загроз для безпеки та конфіденційності даних користувачів. При цьому, замість попередження про можливі ризики користувачам розповідають про функціонал, ефективність використання заряду та інші переваги. Однак не завжди готовність ділиться даними з пристроями, а також з їх виробниками та іншими особами переважує практичну користь від використання технічних новинок. Платою за усі ці зручності досить часто є збір важливих конфіденційних даних та приховане від користувача подальше поширення чи використання інформації.

Крім цього, зі зростанням залежності від Інтернет-технологій контролювати безпеку зберігання даних на пристроях стає все складніше. Зокрема стрімке розширення зв’язку між пристроями, програмами та службами за відсутності відповідних заходів безпеки збільшує кількість потенційних уразливостей, якими можуть скористатися кіберзлочинці. При цьому, для інфікування IoT або використання їх для атаки на інші пристрої мережі часто достатньо невеликих технічних навичок. А з урахуванням кількості персональних даних, зібраних датчиками пристроїв, конфіденційність даних користувачів наразі перебуває у серйозній небезпеці.

Викликає занепокоєння і те, що пристрої IoT часто поєднують цифровий та фізичний світ. Не враховуючи деякі приклади зі щоденного вжитку, такі як розумні зубні щітки, уразливість багатьох типів пристроїв IoT може становити реальну загрозу. Інсулінові дозатори та електрокардіостимулятори – приклад IoT із виявленими недоліками безпеки, використання яких хакерами здатне спричинити фатальні наслідки. Крім цього, через уразливі пристрої IoT кіберзлочинці можуть отримувати доступ до інших пристроїв у мережі.

Одним з факторів, який ускладнює захист IoT від загроз є те, що багато гаджетів містять недоліки безпеки «з коробки». Їх прошивка, тобто вбудоване програмне забезпечення, може містити старі та вже добре відомі уразливості під час чи після потрапляння на ринок. Виправити помилки можливо за результатами проведення навіть неповного аналізу коду, звичайно, за умови його здійснення.

В іншому разі, уразливості можуть залишатися невиправленими протягом усього часу використання продукту. Навіть коли такі оновлення випускаються, вони часто недоступні для звичайних користувачів через складність встановлення або необхідність залучення додаткових ресурсів. А найчастіше користувачі ніколи не дізнаються про існування цих виправлень.

На додаток до цього, для деяких пристроїв взагалі не передбачена можливість оновлення програмного забезпечення. У таких випадках їх власники не можуть застосовувати виправлення у разі виявлення уразливостей, а також запобігати їх використанню у зловмисних цілях.

Ще однією проблемою світу IoT залишається відсутність аутентифікації. Завдяки цьому кіберзлочинці можуть легко отримати доступ до розгорнутої системи IoT та даних користувачів. Зокрема досить часто користувачі залишають стандартні налаштування та не змінюють імена користувачів і паролі після покупки пристрою. Тоді як, зазвичай, за замовчуванням використовуються загальнодоступні, легкі та навіть закодовані облікові дані, які найчастіше можна знайти в Google.

Цим у 2016 році скористався ботнет Mirai, який отримав доступ до десятків тисяч пристроїв IoT зі стандартними обліковими даними. Після цього за допомогою ботнету було здійснено серію DDoS-атак, які зупинили роботу тисячі веб-сайтів.

Конфіденційна інформація також може бути викрадена не лише через недоліки аутентифікації під час встановлення з’єднань, а й через відсутність шифрування даних між пристроєм та сервісами, розташованими в хмарі. На жаль, багато пристроїв мають обмежені обчислювальні ресурси і навіть не можуть використовувати складні протоколи шифрування.

Не виключено, що користувачі іноді можуть не знати про підключення пристрою до мережі та передачу ним даних. Дійсно, IoT спричинили важливі зміни у взаємодії між користувачами та інформацією, що призвело до виникнення нових викликів для конфіденційності даних. У цій ситуації для початку потрібно усвідомити потенційні небезпеки та вжити заходів для мінімізації можливих ризиків.