S tehnološkim liderima kao što su Facebook i Alphabet, Inc. koji omogućuju svojim zaposlenicima da rade na daljinu do sredine 2021. godine, rad na daljinu vjerojatno će se smatrati jednim od načina smanjenja troškova i kretanja kroz trenutnu ekonomsku i zdravstvenu krizu. U svim industrijama organizacije žele prigrliti Internet of Things (IoT) kako bi smanjili manualne zadatke i promicali društveno distanciranje. No, IoT uređajima često nedostaju osnovne sigurnosne kontrole koje vode do novih rizika cyber-sigurnosti kroz čitav spektar IT-a. Cjelovito rješenje za upravljanje IoT-om kao dijelom planova za razvoj organizacija također mora uključivati utvrđivanje najboljih praksi za sigurniju budućnost.
Zašto IoT omogućuje raspodjelu radne snage?
IoT nudi jedinstvene mogućnosti dok organizacije premještaju svoju radnu snagu za rad od kuće. Povezani uređaji omogućavaju organizacijama da nadziru i upravljaju operacijama kritičnim za poslovanje. Kako se navodi u IoT Business News, uređaji za daljinsko praćenje omogućuju proizvođačima daljinsko nadgledanje i upravljanje radom, a medicinski profesionalci primjerice mogu nadgledati vitalne znakove pacijenta, a da ne budu u blizini. Ukratko, ovi uređaji mogu zamijeniti osobne procese dok radnici ostaju udaljeni kako bi zaštitili svoje fizičko zdravlje.
Koji su sigurnosni rizici IoT-a?
IoT-u povijesno nedostaje skup kohezivnih sigurnosnih smjernica, što za posljedicu ima da je uređaje teže zaštititi. U ranim danima razvoja dizajneri i programeri IoT uređaja rijetko su razmišljali o postavljanju sigurnosnih zaštita, što dovodi do sigurnosnih problema poput zahtijevanja ručnih sigurnosnih ažuriranja, uključivanja zadanih lozinki koje mnogi korisnici ne mogu promijeniti i ostavljaju otvorene stavke koje zlobni akteri mogu koristiti.
U svibnju 2020. zaklada Internet of Things Security (IoTSF) objavila je drugu verziju svog okvira za usklađivanje sigurnosti na internetu (IoTSCF). Prema IoTSCF-u, organizacije moraju poduzeti pristup sigurnosti utemeljen na riziku stvarajući „klase usklađenosti“ i odmjeravajući sigurnosne ciljeve povjerljivosti, integriteta i dostupnosti.
Kao i kod svakog okvira za poštivanje sigurnosti, organizacije moraju ponajprije paziti na razinu rizika i toleranciju. Utvrđivanje klase sukladnosti unutar IoTSCF znači proučavanje različitih potencijalnih rizika ugrađenih u IoTCT.
Na primjer, svaki IoT uređaj uključuje kombinaciju rizika za povjerljivost, integritet i dostupnost informacija. Imajući to u vidu, organizacije koje žele osigurati te pristupne točke trebaju započeti s osnovnim razumijevanjem vrsta informacija koje uređaji prikupljaju, pohranjuju i prenose kao željenu razinu sigurnosti tvrtke.
Prema IoTSCF-u, organizacije mogu na sljedeće gledati kao na dio postavki tolerancije na rizik:
Klasa 0: Nizak ili „osnovni“ rizik od povjerljivosti, integriteta i dostupnosti
Klasa 1: Osnovni rizik od povjerljivosti, srednji rizik za integritet i dostupnost
Klasa 2: Srednji rizik od povjerljivosti i integriteta, visok rizik od raspoloživosti
Klasa 3: Visoki rizik od povjerljivosti i dostupnosti, srednji rizik za integritet
Klasa 4: Visok rizik od povjerljivosti, integriteta i dostupnosti
Na primjer, industrijski IoT (IIoT) uređaj rijetko bi se smatrao razredom 0 jer prikuplja, prenosi i pohranjuje osjetljive podatke. Proizvođači često koriste IIoT za dugoročno pohranjivanje podataka, što ih čini rizičnijima zbog velike količine podataka pohranjenih u dužem vremenskom razdoblju. Isto se može reći i za medicinski IoT jer su podaci koje uređaji prenose često osjetljivi elektronički podaci o zdravlju pacijenata (ePHI).
U međuvremenu, IoT, poput pametnih termometra koji se koriste za regulaciju temperature u uredu, dolaze s malim rizikom, sve dok koriste malu moć obrade pa cyber napad ne bi imao utjecaja na osjetljive podatke. U tim slučajevima segregacija mreže može djelovati kao odgovarajuća kontrola za smanjenje rizika.
Kao i kod svih pitanja kibernetičke sigurnosti, ne postoji pristup "jedna veličina svima". U osnovi, IoTSCF daje smjernice u pogledu poštivanja propisa. Međutim, postavlja i posebne zahtjeve za IoT uređaje. (N.G.K.)