10 gyakorlati jótanács az IoT eszközök szervezeten belüli biztonságos alkalmazásához

2019-03-25
Márky Donát

 

Az IoT –val (Internet of Things – értsd „Dolgok internete”) kapcsolatban az egyik legnagyobb fejtörést annak biztonságos alkalmazása okozza. Ez a problémakör egy vállalaton belül fokozottan jelentkezik, hiszen ott a hálózatba kötött elektronikus eszközök gyakran nagy és veszélyes gépeket tartanak ellenőrzés alatt vagy küldenek/ fogadnak érzékeny adatokat.

Az IoT-val új adatokat és hasznos betekintést nyerhetünk bizonyos területe(ke)n, de az IoT egyúttal sebezhetőbbé is teszi az adott szervezetet. Ebből adódóan egy vállalat számára alapvető fontosságú, hogy tisztában legyen a biztonsági tényezőkkel mielőtt IoT alapú telepítésbe kezd.

Íme 10 gyakorlati jótanács vállalatoknak, iskoláknak, gyáraknak és egyéb olyan szervezetnek, melyek növelni szeretnék IoT-biztonságukat.

  1. Ismerd meg a végpontokat

Minden új, hálózathoz csatlakoztatott IoT végpont a kiberbiztonsági fenyegetések szempontjából lehetséges belépési pontnak számít, amire figyelni kell.

„Sok gyártó valószínűleg számos nyílt forráskódú eszközön és saját operációs rendszeren keresztül építi ki IoT eszközeit és több szinten kalkulálja az energia-, a memória- és a hálózati teljesítményt” – írta az ISACA egyik lapjában John Pironti, az IP Architects elnöke és vezető informatikai kockázatkezelő stratégája. „Minden IoT végpontot azonosítani és ábrázolni kell, bele kell foglalni az eszközleltárba valamint folyamatos megfigyelés alatt kell tartani azok zavartalan és biztonságos működését.”

  1. Kövesd nyomon és ellenőrizd eszközeidet

Bár egyszerűnek hangzik, de egy IoT projekt indításának kezdeti lépéseként meg kell pontosan ismerni és érteni, hogy a szervezeten belül melyek az egymáshoz kapcsolt eszközök és azok mit is csinálnak pontosan – állítja Earl Perkins, a világhírű Gartner kutatási és tanácsadó cég alelnöke. Mindezt persze lehetetlenség lenne manuálisan véghezvinni az összes eszköz esetében, így Perkins mindenekelőtt egy olyan eszköz-feltárás megvalósítását javasolja, amely egy IoT projekt beindításakor segítséget nyújthat az eszközök nyomon követésében és irányításában.

  1. Azonosítsd be, amit az informatikai biztonsági rendszer nem tud

Alapszinten az IoT telepítés két különböző részből áll: van egy fizikai része, ami az adott csatlakoztatott eszközre és annak működésére vonatkozik, illetve van egy kiber oldala is, ami az adatgyűjtésre és –használatra vonatkozik, mondja Perkins. A legjobb gyakorlat szerint a telepítés kiber oldalával az informatikai biztonsági rendszer képes foglalkozni, de a fizikai részével nem, mivel az gyakran nem ugyanazon szabályok szerint működik.

 

Perkins szerint a legtöbb adatközpontú informatikai szervezet fő fókusza éppen az lesz, hogy rájöjjön, hogy mikor és hogyan kell ezeket a fizikai elemeket biztonságossá tenni, és ez általában mérnöki közreműködést igényel.

  1. Javítás és kármentesítés

A vállalatoknak a bevezetni kívánt IoT eszközöket javítási és kármentesítési szempontból be kell sorolniuk – mondja Merritt Maxim, a Forrester Kutatóvállalat senior elemzője. „Ez nem csak biztonsági okokból fontos, hanem lehetnek egyéb üzleti okok is, melyek megkövetelhetik a kód bizonyos időközönkénti megváltoztatását” – mondja Maxim. „Néhány eszköz csak korlátozottan tud javítást elvégezni, vagy a javítási folyamat számos lépésből áll és komplexebb lehet annál, amit a felhasználók sikeresen el tudnak maguk végezni.”

  1. Alkalmazz kockázatvezérelt stratégiát

Mint oly sok egyéb technológia bevezetésénél, az IoT-nál is szükséges egyfajta kategorizálás kiberbiztonsági szempontból. Perkins ajánlása szerint a legjobb, ha a vállalatok kockázatvezérelt stratégiát követnek és IoT infrastruktúrájukon belül priorizálják a kritikus eszközöket. Perkins szerint az informatikai vezetőknek egy bizonyos eszköztáron belül meg kell határozniuk a legnagyobb értékű és -kockázatú eszközöket, valamint biztosítaniuk kell azok megfelelő védelmét.   

  1. Végezz teszteket és készíts kiértékeléseket

Maxim ajánlása szerint IoT eszközök telepítése előtt tanácsos néhány behatolásvizsgálatot vagy eszköz-kiértékelést készíteni hardware vagy software szinten. Ez akár fordított tervezést is jelenthet, esettől függően. 

„Ezeknek az eszközöknek lehetnek gyenge pontjai, és nagyon fontos, hogy ezeket a gyenge pontokat megismerd és megértsd, mielőtt a nyilvánosság elé tárod illetve a felhasználók kezébe engeded őket – mondja Maxim. Az előzetes tesztelések kiemelkedő jelentőségűek ebben az esetben. ”

  1. Változtasd meg az alapértelmezett jelszavakat és azonosítókat

Sok informatikai szakembernek ez a tanács magától értetődőnek tűnhet, azonban fontos megjegyezni, hogy néhány IoT eszköz gyártó által ellátott jelszóval rendelkezik – amit kezdetben az eszköz konfigurálásához használnak –, amit csak nehezen vagy egyáltalán nem lehet megváltoztatni.

„A hacker-ek rájöhetnek, hogy mi ez a bizonyos jelszó és a jelszó ismeretében saját irányításuk alá tudják vonni az eszközt”, mondja Maxim. „A jelszó mindig is a leggyengébb láncszem és ez nincs másképp az IoT esetében sem.”

  1. Figyeld az adatokat

Egy IoT eszköz biztonságossá tételéhez kulcsfontosságú annak megértése, hogy az IoT eszköz hogyan lép kapcsolatba és hogyan kommunikál az adatokkal. Maxim szerint a vállalatoknak meg kéne vizsgálniuk, hogy az eszközeik által generált adatok standard formátumúak-e vagy olyan struktúrába rendezettek, ami alapján a szervezet könnyen beazonosíthatja a rendellenes tevékenységeket, és ezáltal meg is tudja tenni a szükséges lépéseket.

 

Pironti azt is megjegyezte a jelentésében, hogy a vállalatoknak elővigyázatosnak kell lenniük, ha egy IoT eszköz nem nyilvános személyes adatokat vagy személyes azonosítható információkat használ. „Elképzelhető, hogy ezeket az adatokat hacker-ek használják, hogy ellenőrzést nyerjenek egy magánszemély vagy egy szervezet felett vagy éppen olyan gyenge védelmű ez az adat, hogy könnyen illetéktelenek kezébe juthat – írja Pironti. ” 

  1. Alkalmazz naprakész titkosítási protokollt

Ajánlott, hogy a vállalatok titkosítsák azokat az adatokat, melyek az IoT eszközbe befutnak vagy onnan kijönnek, a lehető leghosszabb titkosítási mód és stratégia alkalmazásával, hogy minél hosszabb távon biztosítsa a szervezet védelmét a jövőben.

„Az, hogy a titkosítás mennyire erős és állja meg a helyét, annak kivitelezésétől függ. Ha az nem megfelelően, elavult módszerek alapján lett megvalósítva, amelyek megtámadhatóak vagy idővel egyre inkább megtámadhatóak lesznek, akkor azzal bizony foglalkozni kell, mondja Maxim.”

  1. Ne az eszközeidet, hanem elsősorban az azonosítóidat tartsd ellenőrzés alatt!

Maxim szerint mivel egyre több IoT eszköz képes több felhasználót egyetlen eszközhöz csatlakoztatni, a biztonság fókuszát az azonosítókon alapuló ellenőrzésre kell áthelyezni.

Az azonosítás segíti a szervezetet, hogy jobban megértse, hogy egy adott felhasználó hogyan lép be az eszközbe, ami pedig segíti a vállalat tulajdonosait abban, hogy meghatározzák a felhasználói szokásokat, amivel még több egyéb információhoz jutnak. Ez egyúttal segíti őket abban is, hogy védekezzenek sebezhetőségük és a nem megfelelő használattal szemben.

 

 

 

 

Vissza
Címkék
IT biztonság megosztott infrastruktúra rendszerintegráció GDPR Új adatvédelmi szabályozás zsarolóvírusok eltűntek a fájlok hálózat új hálózati szabvány adat az új olaj technológiai változások kiberbűnözés piaci trendek

Blog értesítés kérése

* Kötelező mezők