home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Geloof de hype niet:waarom het IoT vastloopt

Ken Munro bij Pen Test Partners

Als hype-cycli iets zijn om voorbij te gaan, balanceren we vrijwel zeker op de rand van het dal van desillusie met het IoT. Recent onderzoek beweert dat 60% van de testimplementaties is mislukt. Maar hoewel sommige proefprojecten misschien zijn mislukt, is er nog niet het gewicht van de apparaten die in gebruik zijn om te suggereren dat we een hoogtepunt hebben bereikt. Integendeel, de adoptie zelf lijkt te haperen.

IoT-adoptie is niet het verwachte succes geweest en dit heeft te maken met een aantal problemen. Ten eerste het IoT-enablement van apparaten die deze extra connectiviteit niet noodzakelijk rechtvaardigen. Neem de IoT-vistank die voeding, watertemperatuur en kwaliteit regelde, zegt Ken Munro, partner bij Pen Test Partners .

Dat klinkt misschien als een arbeidsbesparend apparaat, maar uiteindelijk zag het een casino waar de tank was geïnstalleerd 10 GB aan gegevens verliezen aan een apparaat in Finland. IoT-beveiliging stopt niet bij het apparaat. Wat dit illustreert, is dat dergelijke apparaten worden gebruikt om exploiteerbare achterdeurtjes naar netwerken te creëren, waardoor diefstal van inloggegevens en gegevensexfiltratie mogelijk worden.

Bezorgdheid over de levensduur belemmert ook de acceptatie, waarbij apparaten vaak worden verwisseld in plaats van geüpdatet, waardoor gebruikers twijfelen aan de levensvatbaarheid van de investering. Dan is er de vraag of de fabrikant de middelen heeft om eventuele problemen op te lossen?

Na verloop van tijd komen er beveiligingsproblemen aan het licht en als dat gebeurt en uw apparaten moeten worden gepatcht, zal de fabrikant dan de tijd investeren die nodig is om dit te overzien of schuld ontkennen of zelfs ondersteuning intrekken?

Geopende details

Het beschermen van de bestaande installed base is een echte hoofdpijn voor fabrikanten. Als je de Shodan-website bekijkt, zie je hosts van geïmplementeerde IoT-apparatuur (en zorgwekkend zelfs industriële controlesystemen) met details over het IP-adres, het besturingssysteem dat wordt uitgevoerd en de versie van de gebruikte software. En de FCC publiceert behulpzaam de schema's voor binnenkort uit te brengen IoT-apparaten, compleet met schakelschema's voor diegenen die wat meer details van dichtbij willen.

In veel gevallen kan een aanvaller apparaten van Shodan identificeren en eenvoudigweg de standaardreferenties verkrijgen om toegang te krijgen. We vonden ooit een handige 'superwachtwoord'-lijst met dagelijkse inloggegevens voor het hele jaar die door een technicus op sociale media werd gepubliceerd. Het is duidelijk dat de beveiliging van de toeleveringsketen laks is, en dit geval illustreert hoe gemakkelijk het is om 'vertrouwelijke' gegevens te bemachtigen.

Fabrikanten worstelen met deze kansen en proberen nu gegevens door te verkopen aan derden. Dat kan commercieel logisch zijn, maar het brengt de veiligheid en privacy van de gebruikersbasis verder in gevaar. Het zou bijvoorbeeld kunnen zien dat de plattegronden voor uw kantoor worden verkocht als u de gebruiker bent van een IoT-stofzuiger. En wat als die informatie op de zwarte markt terechtkomt? Gegevens van het gebouwbeheersysteem (BMS) kunnen bijzonder nuttig zijn. Denk aan de afpersing die mogelijk zou zijn als een aanvaller ransomware over slimme thermostaten zou plaatsen.

Het probleem oplossen

De cynici onder jullie zullen zich afvragen of de eindgebruiker niet ook een deel van de verantwoordelijkheid op zich moet nemen en het is waar dat maar weinig apparaten opnieuw configureren bij het instellen. Dat komt deels omdat het heel moeilijk kan zijn om dit te doen. Als het je lukt, heb je dan ook de standaardpincode gewijzigd op mobiele apps of webapps die worden gebruikt om het apparaat te bedienen? Het is nog steeds de vraag of dit de moeite waard is, aangezien een vier- of zescijferige pincode een kwestie van uren duurt om te kraken.

Het huidige gebrek aan vertrouwen kan alleen worden toegeschreven aan slechte beveiliging en dat betekent dat fabrikanten hun spel moeten verbeteren. Ze moeten zorgen voor veilige ontwikkeling van mobiele apps, sterk sessiebeheer en encryptie op webservices, veilige implementatie van de gekozen draadloze standaard en op het apparaat zelf, ongebruikte functionaliteit uitschakelen, zoals seriële poorten of foutopsporingspoorten, verduisteringstechnieken toepassen en veilige sleutelopslag terwijl de firmware moet worden gecodeerd en ondertekend.

Helaas, totdat leveranciers prioriteit gaan geven aan beveiliging, zal de acceptatie van IoT haperen. Er is alleen nog een gedurfde malware-aanval nodig, misschien via een universele interface zoals poort 80, om de opname onherstelbaar te beschadigen. Op dit moment moet de industrie zich concentreren op het opbouwen van vertrouwen en dat betekent het aannemen van zelfopgelegde of wettelijke regelgeving.

De auteur van deze blog is Ken Munro, partner bij Pen Test Partners


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. De uitdaging van IoT-beveiliging voor thuiswerkers aangaan
    2. De groeiende dreiging van IoT met Wi-Fi
    3. Het IoT verbinden – de smalbandkans
    4. De beveiligingsuitdaging van het internet der dingen:deel 1
    5. We leggen de basis voor IoT in de onderneming
    6. Het internet der dingen:een mijnenveld voor softwaredistributie in de maak?
    7. Waarom het internet der dingen kunstmatige intelligentie nodig heeft
    8. Groeiende acceptatie van IoT-apparaten is het grootste cyberbeveiligingsrisico
    9. IoT-verkeer in de onderneming neemt toe, net als de bedreigingen
    10. Het beveiligen van IoT-apparaten voor consumenten:waarom een ​​wereldwijde standaard nodig is
    11. Hand in hand – Waarom het IoT SD-WAN nodig heeft