Bár a vállalati mobilalkalmazások és IoT használat még korántsem vált mindenhol széleskörűen elfogadottá, a jelenlegi helyzetben a biztonsági szakemberek 58%-a aggódik a tárgyak internetével kapcsolatos biztonsági hiányosságok, illetve 53%-uk a nem kellően biztonságos mobilalkalmazások miatt, hiszen ezek révén a támadók sikeresen törhetnek be vállalati rendszerekbe.
Míg a 79% szerint a mobilalkalmazások növelik a biztonsági kockázatokat, és 75% mondta ugyanezt az IoT alkalmazásokról. Ezzel szemben viszont 44%-uk semmilyen intézkedést nem tett ezzel kapcsolatban, míg 11% nem tudott semmilyen céges biztonsági stratégiai tervről, szabályozásról a közeljövőben. A válaszadók arról is panaszkodtak, hogy bár nekik kellene ezeket a támadásokat megfékezniük, a cégek nem veszik komolyan a veszélyeket, és ezekre a célokra csak minimális költségvetési keretet biztosítanak számukra. Sajnos sok esetben - 54% - a cégek csak akkor emelik az informatikai költéseket, miután biztonsági incidens áldozatai lettek.
Mindeközben a gyártók is gyors megjelenést, az azonnali hasznot priorizálják, és ezzel óhatatlanul is háttérbe kerülnek a biztonsági szempontok, a biztonságos tervezés, az alapos tesztelés. A hibák, sebezhetőségek utólagos javítása, orvoslása nehézkes vagy ami még rosszabb, sokszor egyáltalán nem megoldott.
A blog olvasói emlékezhetnek arra is, hogy nem régiben kapott például nyilvánosságot például, hogy a széleskörűen használatos szívimplantátumok esetében a vezeték-nélküli távfelügyeleti kapcsolat segítségével egy távoli támadó könnyedén idézhet elő olyan helyzetet, amelyben a műszíves beteg áramütést, akkulemerítést vagy extrém mértékű sebesség átállítást szenvedhet el. Itt a nyilvánosság és a hatóságok nyomására a gyártó ígéretet tett arra, hogy a jövőben rendszeres hibajavító frissítéseket fognak kibocsátani.
Ugyancsak korábban írtunk arról is, hogy sebezhetőségek mindig és mindenben vannak, így a hibajavítások kérdése megkerülhetetlen ezen a területen is. A Mitre adatbázis szerint összességében a tavalyi esztendőben több, mint 10 ezer hibáról kaptak értesítést. Az általuk vezetett CVE 2016-os adatai alapján az Android vezette a sebezhetőségi toplistát, szám szerint 523 bejelentett sérülékenységgel.
Ez a szám majdnem a duplája volt az Adobe Flash rendszerrel kapcsolatos réseknek, amiből tavaly 266 darab szerepelt a rendszerben. "Egy új trend megjelenését látjuk, ez a Ransomware of Things (RoT), ami azt jelenti, hogy a kiberbűnözők feltörik eszközeinket, majd váltságdíjat követelnek az eszközök blokkolásának feloldásáért. Ez a bűnözés új formáját fogja jelenteni: az IoT (Internet of Things) révén összekapcsolt eszközök bármelyikét blokkolhatják a hackerek.
Ez lehet akár egy autó 'lezárása' is, ha az össze van kapcsolva a telefonon lévő applikációval, ehhez ugyanis hozzáférhetnek a bűnözők és megakadályozhatják az autó indítását. Majd sms-ben követelik a váltságdíj összegét, aminek kifizetéséhez kötik a telefon és az autó feletti kontroll visszaadását."
A fenti idézet már a 2017-es esztendőre megjelent jóslatból való, amelyekben az IoT területet vírusvédelem szakértői egyenesen az idei év kiemelt kockázataként említik. Az ESET biztonsági előrejelzése egyébként tavaly decemberben jelent meg "2017. a Ransomware of Things éve lesz" címmel, és a tanulmány részletes formában, teljes terjedelemben is elolvasható az alábbi linken.
A Ponemon kutatás adataira visszatérve pedig elmondhatjuk, hogy sajnos szemlátomást sokat kell még változnia a hozzáállásnak ezen a területen.
Keveset teszünk a mobil és IoT biztonságért
Egy friss tanulmány szerint nem kezeljük prioritásként a mobil és a tárgyak internetével kapcsolatos eszközök biztonsági kihívásait. Annak ellenére, hogy a veszélyekről szinte naponta olvashatunk, IT biztonsági szakemberek megkeresésével végzett Ponemon Institute felmérés arról tanúskodik, hogy nem kezeljük az ezzel kapcsolatos kockázatokat megfelelően.