ほとんどの企業では、脆弱なデバイスを使用する従業員が少なくとも1人いる可能性があります。サイバー犯罪者にとっては、1つで十分です。
消費者の領域では、Internet of Things(IoT)テクノロジーは、その非常に安っぽいセキュリティで長い間有名です。
今日の家は、インターネットに接続されたデバイスで溢れています-それがアプリを備えたエスプレッソマシンであろうと、Wi-Fi接続を備えたセキュリティカメラであろうと。 Statistaによると、2020年には消費者向け電子機器がインストールされているすべてのIoTデバイスの63%を占めるとのことです。これらのデバイスは、ユーザーに関するデータを収集する場合があります。このデータは、製品の改善に役立てるためにサービスプロバイダーに返送されます。これらのデバイスの製造は儲かるビジネスであり、需要が高まるにつれて、消費者はますます安価なエコノミークラスのデバイスを購入するようになっています。問題は、彼らのセキュリティ基準が通常かなり弱いということです。
最近まで、消費者向けInternet of Thingsのセキュリティの脆弱性とセキュリティホールは、ビジネスの世界では大きな問題ではありませんでした。プライバシーに精通した幹部は、ミッションクリティカルな会議中にオフィスのAlexaをオフにするために連絡する必要がありました。しかし、秋までに職場に戻ると予想されるのは労働者の3分の1に過ぎないため、労働者の家は職場になっています。安全でないIoTが殺到した場合、これは深刻なサイバーセキュリティの問題です。IoTデバイスの所有者の15%は依然としてデフォルトのパスワードを使用しているため、ほとんどの企業では、脆弱なデバイスを使用する従業員が少なくとも1人いる可能性が高く、サイバー犯罪者はもはやそれを必要としません。
ForgeRockのIoT製品管理ディレクターであるDarrylJonesは、次のように述べています。「家庭用に購入したほとんどのIoTデバイスは比較的安価です。これは、メーカーがハードウェアやソフトウェアでデバイスを保護することにあまり力を入れていないためです。 TechHQとの会話におけるデジタルアイデンティティスペシャリストとして。
「不十分な資格管理、古いファームウェア、消費者向けデバイスに残された冗長なホットスポットから、まれなセキュリティ更新まで、これらのデバイスは、そもそも安全であると主張しないことがよくあります。」
2020年、サイバー犯罪のリーダーと代理人はサイバー犯罪の急増に圧倒されました。検疫環境を悪用するフィッシングメールの数は急増し、従業員のリモートワークへの突然の移行により、保護する必要のある新しいエンドポイントの数が増加しています。企業や従業員がオンラインに移行すると、犯罪者が大勢の人を追いかけました。
同時に、2019年だけでも、IoTデバイスに対するサイバー攻撃の数は300%増加し、今後も増加する可能性があります。
IoTデバイスの脆弱性の最も悪名高い例は、2016年のMiraiボットネットによるDDoS攻撃の波であり、ある時点でインターネットにアクセスできなくなりました。米国の東海岸全域。米国政府は当初、それがパリア国の仕事であると疑っていましたが、犯人は、不満を抱いたMinecraftプレーヤーによって武器に変えられた40万台の侵害された消費者IoTデバイスのネットワークであることが判明しました。
では、なぜビジネスリーダーは消費者のIoTの脅威に気をとられているのでしょうか。
「簡単に言えば、パンデミックは状況を変えました。以前はチェスをプレイしていましたが、今はチェッカーをプレイする必要があります」とジョーンズは言います。 「デバイスの脆弱性は当初から存在していましたが、自宅で働く従業員の数が大幅に増加し、パンデミックによる数の着実な増加により、問題の深刻度が大幅に高まっています。
「CIOは何年にもわたってデバイスとネットワークの保護に取り組んできましたが、これらの変更はビジネスリーダーとCIOの両方に新たな課題をもたらします。」
ジョーンズは、分散作業の将来に向けた改訂されたサイバーセキュリティ戦略は、Bring Your Own Device(BYOD)だけでなく、ネットワークにアクセスできる他の従業員所有のデバイスを通じて増大する脅威に対処する必要があると示唆しています。
「企業は、消費者向けデバイスを含むネットワークの一部が中断しても企業ネットワークの一部が損なわれないように、企業ネットワークを分離する新しいホームテクノロジーを調査する必要があります」とジョーンズ氏は言います。
1つのアプローチは、企業が企業デバイス用にプライベートWi-Fiネットワークのみを作成することを要求することです。これはFBIが何度も推進しているガイドラインです。アメリカで。政府はまた、IoTデバイスのセキュリティに関して、ベストプラクティスのコード、またはさらに良いことに、法律を制定する必要があります。昨年、フィンランドは安全なスマートデバイスを認定した最初のヨーロッパの国となり、必要な基準を満たす製品にははっきりと見える「サイバーセキュリティマーク」が付けられました。
「独自のデジタルIDは、既存または新規の家庭用デバイスだけでなく、職場のデバイスを保護するために使用できるため、新しいセキュリティベースとなるはずです。さらに、ゼロトラストまたはCARTAセキュリティモデルを実装すると、すべての対話が安全であることを保証し、疑わしい対話を検出するためのデバイスとユーザーの通常の動作を理解することで、この新しい基準を支援できます」とジョーンズは言います。
「企業はまた、プライベートネットワークの使用を要求する新しい企業セキュリティおよび従業員トレーニングポリシーを採用し、それらのネットワークの使用を企業デバイスのみに制限する必要があります。」
「侵入を早期に検出することも重要です。企業は、新しいデバイスがネットワークに接続されたときなど、異常を検出するためのソリューションと、エンドポイント、動作、ネットワークなどの他の監視ソリューションを用意する必要があります...」
