Inteligentne i bezpieczne. Najlepsze praktyki zapobiegania naruszeniom danych IoT z okazji Europejskiego Dnia Ochrony Danych Osobowych

Czytaj więcej

Europejski Dzień Ochrony Danych Osobowych, obchodzony co roku 28 stycznia, to doskonała okazja, by zwrócić uwagę na znaczenie bezpieczeństwa danych i fakt, że w świecie nowoczesnych technologii prywatność jest bardziej zagrożona niż kiedykolwiek.

W dobie Internetu Rzeczy (IoT) i sztucznej inteligencji (AI) niemal każde urządzenie w naszym otoczeniu może stać się potencjalnym źródłem wycieku danych osobowych.

Podłączone inteligentne urządzenia są wszędzie – stały się nieodłączną częścią naszych sieci osobistych i zawodowych. Od zdalnie sterowanych systemów bezpieczeństwa po termostaty, które można regulować za pomocą urządzeń mobilnych – korzyści jest wiele. Przy tym jednak, urządzenia IoT często gromadzą ogromne ilości danych, w tym poufne informacje osobiste, co może stwarzać poważne zagrożenia dla prywatności.

Niestety wiele urządzeń IoT nie jest domyślnie bezpiecznie skonfigurowanych po wysłaniu przez producentów, a wszelkie luki w zabezpieczeniach sieci mogą być łatwo wykorzystane przez hakerów.

Poniżej przedstawiamy 4 przykłady naruszenia bezpieczeństwa prywatnych danych z wykorzystaniem urządzeń IoT:

1. Dzwonki, kamery i systemy monitoringu Ring.

    Firma Ring, będąca własnością Amazona, zyskała sobie w ostatnich latach rozgłos dzięki dwóm odrębnym incydentom bezpieczeństwa. Raz za przypadkowe ujawnienie danych użytkowników, takich jak nazwiska i adresy IP zarówno Facebookowi, jak i Google za pośrednictwem zewnętrznych trackerów wbudowanych w ich aplikację na Androida, a po drugie za naruszenie bezpieczeństwa IoT, w wyniku którego cyberprzestępcy z powodzeniem włamali się do połączonych systemów dzwonków do drzwi i monitoringu domowego kilku rodzin.

    Jak to zrobili? Korzystając z różnych słabych i domyślnych danych uwierzytelniających, hakerzy byli w stanie uzyskać dostęp do transmisji na żywo z kamer w domach klientów, a nawet mogli komunikować się zdalnie za pomocą zintegrowanych mikrofonów i głośników urządzeń.

    2. Luki w zabezpieczeniach cyfrowych systemów dostępu do budynków Nortek

    Wiele firm przeszło z tradycyjnych zamków i kluczy na cyfrowe systemy dostępu do budynków, polegając na fizycznych kartach-kluczach, kodach dostępu, a nawet technologiach biometrycznych, aby umożliwić pracownikom dostęp do biur.

    Jednak te systemy nie są wolne od wad – badania przeprowadzone przez Applied Risk (firmę zajmującą się cyberbezpieczeństwem) zidentyfikowały 10 luk w zabezpieczeniach urządzeń Nortek Linear eMerge E3, które umożliwiłyby hakerom przejęcie danych uwierzytelniających, przejęcie kontroli nad urządzeniami (otwieranie/zamykanie drzwi), zainstalowanie złośliwego oprogramowania i uruchomienie ataków DoS (Denial of Service), jednocześnie omijając obowiązujące środki bezpieczeństwa.

    3. Niebezpieczne urządzenia kardiologiczne St Jude Medical

    Charakter urządzeń IoT oznacza, że ​​dane są stale przesyłane, przetwarzane i gromadzone w chmurze, często bez żadnego szyfrowania. Gdyby haker uzyskał dostęp do tak wrażliwych informacji, a dzięki nim do medycznego urządzenia IoT, mógłby go wykorzystać do manipulowania informacjami i przesyłania fałszywych sygnałów. Gdyby pracownik służby zdrowia zareagował na jeden z tych sygnałów, mogłoby to mieć znaczący wpływ na leczenie pacjenta.

    Badania przeprowadzone kilka lat temu przez FDA wykazały, że wszczepialne urządzenia kardiologiczne St Jude Medical mają luki w zabezpieczeniach. Gdyby hakerzy uzyskali dostęp, mogliby rozładować baterię lub podać nieprawidłową stymulację lub wstrząsy.

    Na szczęście żaden pacjent nie ucierpiał w wyniku luk w zabezpieczeniach, a St Jude opracował od tego czasu poprawkę oprogramowania, aby naprawić problem, który wystąpił w nadajniku urządzeń.

    4. Atak na kamerę internetową TRENDnet

    TRENDnet reklamował swoje kamery SecurView jako idealne do szerokiego zakresu zastosowań. Nie tylko mogły służyć jako kamery bezpieczeństwa domowego, ale także jako monitory dziecięce. Co najważniejsze, miały być bezpieczne, a to jest najważniejsza rzecz, jakiej oczekujemy od kamery bezpieczeństwa.

    Okazało się jednak, że każdy, kto był w stanie znaleźć adres IP dowolnego z tych urządzeń, mógł uzyskać do niego dostęp, oglądać transmisję video, a w niektórych przypadkach również przechwycić dźwięk. Ujawniono również, iż przez pewien czas TRENDnet przesyłał dane logowania użytkowników przez Internet bez żadnego szyfrowania jako czytelny tekst.

    Ten incydent pokazuje, że nie należy traktować bezpieczeństwa jako czegoś oczywistego. Jeśli urządzenie ma być bezpieczne, nie oznacza to, że nie wycieka Twoich prywatnych danych.

    Najlepsze praktyki zapobiegania naruszeniom danych IoT:

    1. Zmień domyślne hasła

    Wiele urządzeń IoT ma domyślne nazwy użytkowników i hasła, które są powszechnie znane lub łatwe do odgadnięcia. Jednym z najprostszych i najskuteczniejszych kroków zapobiegających naruszeniom jest zmiana tych poświadczeń podczas konfiguracji. Silne, unikalne hasła powinny być używane do ochrony urządzeń przed nieautoryzowanym dostępem.

    2. Regularnie aktualizuj oprogramowanie i oprogramowanie sprzętowe

    Producenci IoT regularnie publikują aktualizacje w celu rozwiązania luk w zabezpieczeniach. Niezastosowanie tych aktualizacji może narazić urządzenia na znane zagrożenia. Włączenie automatycznych aktualizacji lub ustawienie przypomnień o ich sprawdzeniu zapewnia, że ​​urządzenia są zawsze chronione przed najnowszymi zagrożeniami.

    3. Wdróż segmentację sieci

    Unikaj podłączania wszystkich urządzeń IoT do tej samej sieci, co Twoje krytyczne systemy lub poufne dane. Segmentując sieć, zmniejszasz wpływ naruszenia w jednym urządzeniu na inne. Ta izolacja dodaje dodatkową warstwę bezpieczeństwa, zwłaszcza jeśli urządzenie IoT zostanie zhakowane.

    4. Używaj silnego szyfrowania

    Szyfrowanie danych przesyłanych między urządzeniami IoT i sieciami pomaga chronić je przed przechwyceniem. Zawsze upewnij się, że urządzenia używają bezpiecznych protokołów komunikacyjnych, takich jak HTTPS lub SSL/TLS, a dane przechowywane na urządzeniach są szyfrowane, aby zapobiec nieautoryzowanemu dostępowi w przypadku naruszenia.

    5. Monitoruj i audytuj aktywność urządzeń IoT

    Spójne monitorowanie aktywności urządzeń IoT może pomóc wykryć podejrzane zachowania na wczesnym etapie. Wdrożenie zautomatyzowanych systemów alertów lub regularne audyty urządzeń mogą pomóc zidentyfikować potencjalne luki lub naruszenia, zanim się rozwiną.

    6. Ogranicz gromadzenie i udostępnianie danych

    Nie wszystkie urządzenia IoT potrzebują dostępu do danych osobowych. Ogranicz ilość danych zbieranych przez urządzenia tylko do tego, co jest niezbędne do ich działania. Ponadto sprawdź ustawienia prywatności i ogranicz udostępnianie danych stronom trzecim, zapewniając zgodność z przepisami o ochronie danych, takimi jak RODO.

    7. Edukuj siebie i innych użytkowników

    Wiele naruszeń IoT ma miejsce z powodu błędu ludzkiego, takiego jak udostępnianie danych uwierzytelniających lub ignorowanie ostrzeżeń bezpieczeństwa. Uświadomienie użytkownikom, jak ważne jest bezpieczeństwo Internetu rzeczy, jak ustawiać silne hasła i jakie zagrożenia niesie ze sobą korzystanie z niezabezpieczonych urządzeń, może znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa danych.

    This post is also available in: English (Angielski)