IoT-implementatie brengt een aantal IoT-beveiligingsproblemen met zich mee die verband houden met de functies van IoT-apparaten, zoals de behoefte aan lichtgewicht encryptie-algoritmen in termen van verwerkings- en opslagmogelijkheden, en het gebruik van standaardprotocollen.IoT-apparaten zijn kwetsbaarder voor veiligheidsbedreigingen dan traditionele internetcomputers vanwege hun minder verwerkingskracht en beperkte geheugenbronnen, waardoor de handhaving van de bescherming wordt verergerd. De huidige overgang van het internetnetwerkprotocol van IPv4 naar IPv6 betekent dat steeds meer IoT-apparaten mondiale IP-adressen hebben, die kunnen helpen bij het identificeren van deze apparaten als doelwit voor beveiligingsaanvallen. De autonome werking en communicatie van IoT-apparaten vergemakkelijken ook beveiligingsaanvallen. Daarom, Er is dringend behoefte aan nieuwe en krachtigere beveiligingsoplossingen voor IoT-systemen. Dit artikel neemt je mee door het internet der dingen, van het netwerk naar de hardware, software, en andere veiligheidskwesties op alle niveaus van de discussie.
1. Wat zijn IoT-beveiligingsproblemen?
IoT-beveiligingsproblemen hebben veel gemeen met IT-beveiliging. Echter, IoT-systemen vereisen meer gevoeligheid en vertrouwelijkheid naarmate deze systemen het privéleven van een individu digitaliseren. De gevoeligheid van IoT-technologie komt voort uit de hoge eisen aan beveiliging, met een extreem hoge vertrouwelijkheid, authenticiteit, privacy, en integriteit. Er zijn fysieke en logische problemen met IoT-beveiliging. Aan de ene kant, het fysieke probleem is de energie van het apparaat. De meeste IoT-apparaten worden aangedreven door batterijen, dus de energie is relatief onvoldoende. Aan de andere kant, IoT-apparaten hebben een relatief lage verwerkingskracht en beperkte geheugenbronnen. Er bestaan logische problemen op het gebied van authenticatie, malware bescherming, privacy bescherming, en toezicht.
Het internet en zijn technologieën bestaan al tientallen jaren. Gedurende deze periode, een gecentraliseerde client- en serverarchitectuur vormde de basis waarop de huidige platforms en diensten werden gebouwd. Deze architecturen kunnen ook vanuit IoT-perspectief omslachtig zijn. Bijvoorbeeld, wanneer een groot aantal draadloze sensoren hun gegevens moeten terugsturen naar een gecentraliseerde service, een monolithische dienst moet beveiligingsupdates kunnen distribueren naar een gedecentraliseerd of gedistribueerd sensornetwerk. Deze sensornetwerken profiteren doorgaans van een gedecentraliseerde communicatiearchitectuur, die een groot aandeel heeft en tot op zekere hoogte zelfsturend is. Traditioneel, een barrière voor het creëren van een gedecentraliseerde architectuur is het vertrouwen van andere deelnemers geweest. De introductie van de cryptocurrency Bitcoin gaat ervan uit dat er geen behoefte is aan vertrouwen tussen twee partijen. Dit wordt bereikt door een gedistribueerd consensusmechanisme op te nemen als bewijs van de validatie van nieuwe transacties, terwijl tegelijkertijd wordt geprofiteerd van eerdere transactiegeschiedenis. Dit strekt zich dus uit tot het ontwerp van algemene transacties buiten het bereik van cryptocurrencies. Vandaag, dit gegeneraliseerde mechanisme draagt vaak de naam blockchain.
Recente aandacht van toezichthouders, vooral in de Europese Unie, heeft geleid tot een grotere focus op beveiliging en privacy in de IoT-ruimte. De acceptatie van blockchain-technologie heeft een groot potentieel als een haalbare oplossing voor toekomstige IoT-systemen om aan de wettelijke vereisten te voldoen. Met betrekking tot de wettelijke vereisten voor het ontwerp van IoT-apparaten, het Europees Parlement heeft onlangs nieuwe richtlijnen en verordeningen aangenomen. Deze vereisten, die als de strengste ter wereld kan worden beschouwd, zijn van toepassing op fabrikanten van apparaten en op dienstverleners en platformaanbieders als zij persoonsgegevens van EU-inwoners aan de EU verstrekken of verwerken.
In aanvulling, De EU-lidstaten bieden een aantal sectorspecifieke regelgeving voor gebieden die te maken hebben met gevoelige informatie, zoals gezondheidszorg en financiële dienstverlening. De Verenigde Staten ontberen algemene wetgeving inzake gegevensbescherming of privacy en zijn vooral afhankelijk van een klein aantal privacygerelateerde wetgeving met betrekking tot de sector. De Amerikaanse benadering van het ontwerpen van informatiesystemen maakt het moeilijker om gemeenschappelijke conclusies te trekken over het handhaven van een bepaald niveau van privacy. Bijvoorbeeld, terwijl hetzelfde IoT-systeem in verschillende regio’s kan worden gebruikt, het ontbreken van gemeenschappelijke privacyvereisten of -definities suggereert dit. De fabrikant moet daarom op zijn minst enigszins anticiperen op het beoogde gebruik van het ontwerpsysteem, en het beoogde gebruik van het ontwerpsysteem als de toegang tot de VS zou worden beperkt. markt.
Aan de andere kant, mensen zouden de regelgevingsvereisten van de EU kunnen zien als een maatstaf voor de verplichtingen waaraan moet worden voldaan bij de omgang met persoonlijke gegevens of de omgang met exploitanten van bepaalde belangrijke infrastructuur. Er zijn twee EU-wetten en -regelgevingen die verantwoordelijk zijn voor de ontwikkeling en het beheer van informatiesystemen. Het betreft de Algemene Verordening Gegevensbescherming (AVG) en de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn).
De AVG kan enkele nuances tussen de lidstaten kennen, maar het legt de basis voor een eengemaakte digitale interne markt binnen de EU. Als richtlijn, lidstaten kunnen een andere benadering van de NOS hanteren, hoewel het definieert wat kan worden beschouwd als een minimaal niveau van beveiligingsverantwoordelijkheid voor informatiesystemen.
Wat is internet der dingen?(IoT) Privacy?
Met de ontwikkeling van IoT-technologie, digitale technologie is verder doorgedrongen in ons leven en onze omgeving. Volgens Strategieanalyse, het aantal aangesloten apparaten dat wereldwijd wordt bereikt 22 miljard tegen het einde van 2018 en zal naar verwachting bereiken 50 miljard door 2030. Gebaseerd op optimistische gegevens, de combinatie van IoT en kunstmatige intelligentie zal een intelligentere manier van communiceren creëren. Algemeen, de sociale en economische impact van het internet der dingen zal aanzienlijk zijn, met verbonden apparaten die in elk aspect van ons leven zijn geïntegreerd, van wearables tot het internet van voertuigen tot slimme huizen tot het internet van alles. Het gemak en de alomtegenwoordigheid van het Internet of Things zullen enorme voordelen met zich meebrengen, maar het betekent ook dat het verzamelen van informatie zich verplaatst van de online wereld naar de offline wereld, waarbij onze lichamen en privéruimtes de bron worden voor het verzamelen van informatie. In deze context, het internet der dingen, vooral de privacykwesties die verband houden met het internet der dingen voor consumenten, is het middelpunt van de aandacht geworden. In september 19, de Internet Society heeft een rapport uitgebracht over IoT-privacy genaamd “Policy Brief: IoT-privacy voor beleidsmakers “, waarin de risico's en uitdagingen worden geanalyseerd die het internet der dingen met zich meebrengt voor de bescherming van de persoonlijke privacy, en doet specifieke actieaanbevelingen voor beleidsmakers, IoT-dienstverleners en andere belanghebbenden, en roept op tot versterking van het bestuursmodel voor samenwerking tussen meerdere belanghebbenden.
De ontwikkeling van het Internet of Things maakt het mogelijk om alledaagse voorwerpen en sensoren, anders dan computers, te genereren, gegevens uitwisselen en consumeren met minder menselijke tussenkomst. Vandaag, het Internet of Things laat de ontwikkelingstrend van schaalgrootte zien (het aantal aangesloten apparaten blijft toenemen), intimiteit (draagbare apparaten en apparaten die in het menselijk lichaam worden geïmplanteerd, enz.), alomvertegenwoordigd, altijd verbonden, en intelligent. Maar deze schaal van ontwikkeling kan gevolgen hebben voor de privacybescherming, waardoor individuen gemakkelijker kunnen worden geïdentificeerd, gevolgd, geprofileerd, en beïnvloed.
De uitdagingen van het internet der dingen voor de bescherming van de persoonlijke privacy omvatten onder meer:: Eerst, de bescherming van het internet der dingen omvat een breed scala, inclusief de wettelijke grenzen van verschillende afdelingen en rechtsgebieden. Aan de ene kant, De privacywetgeving is vaak gesegmenteerd per domein, zoals medische privacy, financiële privacy, privacy van studenten, enz., en IoT-apparaten en -diensten zijn moeilijk te categoriseren. Aan de andere kant, verschillende landen en regio's kunnen verschillende privacywetgeving hebben voor IoT-apparaten en -diensten en zullen te maken krijgen met verschillende regelgeving wanneer het verzamelen en verwerken van gegevens in verschillende rechtsgebieden plaatsvindt. Seconde, het is voor IoT moeilijk om geïnformeerde toestemming van gebruikers te verkrijgen. Wanneer IoT wordt ingezet, naast het verkrijgen van geïnformeerde toestemming van de eigenaar van het apparaat, het is moeilijk om tegelijkertijd de toestemming van anderen te verkrijgen. IoT-apparaten verschillen niet van alledaagse dingen zoals horloges, luidsprekers, en tv's, het is dus moeilijk om te weten of een apparaat gegevens verzamelt en verwerkt. Eindelijk, IoT-uitdagingen het transparantiebeginsel van de privacybescherming. Bijvoorbeeld, in tegenstelling tot websites, apps, enz., IoT-apparaten en -diensten kunnen hun privacybeleid mogelijk niet aan gebruikers presenteren, en kunnen gebruikers mogelijk niet goed informeren dat ze gegevens verzamelen.
Om deze uitdagingen beter het hoofd te kunnen bieden en de bescherming van de persoonlijke privacy met betrekking tot het internet der dingen te versterken, de Internet Society heeft vier aanbevelingen gedaan: Eerst, de betekenisvolle controle van gebruikers over IoT-apparaten en -diensten versterken, en het IoT-gegevensbeheer versterken. Specifiek, het bevat: het verduidelijken van de verantwoordelijkheden van dienstverleners, inclusief het verkrijgen van geïnformeerde toestemming van gebruikers bij het verzamelen van persoonlijke gegevens, het vergroten van de transparantie, en het veilig opslaan van gegevens, enz.; het bevorderen van open standaarden en interoperabiliteit in IoT-apparaten en -diensten; en het aanmoedigen van dataminimalisatiepraktijken. Seconde, de transparantie van de verzameling en het gebruik van gebruikersgegevens verbeteren. Bijvoorbeeld, gebruikers op de hoogte stellen van de mogelijkheden van IoT-apparaten en gegevensverzameling op een manier die voor gebruikers gemakkelijk te begrijpen is, effectieve toestemmings- en opt-outfuncties voor gebruikers instellen, de duidelijkheid van het privacybeleid verbeteren, de transparantie gedurende de hele levenscyclus van gegevens te verbeteren, en zorgen voor privacy en veiligheid. Het wordt gedurende de gehele levenscyclus van het product beschermd, enz. Derde, privacywetgeving en -beleid houden gelijke tred met de technologische ontwikkelingen. Specifiek, het bevat: het verbeteren van de bestaande wetten op het gebied van privacy en consumentenbescherming; het beoordelen van het aanpassingsvermogen en de reikwijdte van de wetgeving inzake privacybescherming; het versterken van de wettelijke bescherming voor privacyonderzoekers om ervoor te zorgen dat zij geen juridische risico's lopen door privacykwesties te onderzoeken; Het wijdverbreide gebruik van netwerken vergroot de discriminatie en oneerlijke praktijken niet; het introduceren van privacy-impactbeoordelingen bij de IoT-ontwikkeling, enz. Vierde, de participatie van meerdere belanghebbenden versterken. Het oplossen van IoT-gerelateerde risico’s en uitdagingen vereist de gezamenlijke deelname van de overheid, het publiek, industrie, academische wereld, sociale organisaties, en technisch personeel. Er moet een uitgebreide dialoog op sociaal niveau worden gevoerd, en er moet aandacht worden besteed aan het recht van de consument om te spreken.
Algemeen, de combinatie van IoT met opkomende technologieën zoals cloud computing en kunstmatige intelligentie zal onze economie en samenleving op vele manieren transformeren. Technologie brengt grote kansen met zich mee, maar het brengt ook risico's met zich mee. Er moeten passende maatregelen worden genomen om ervoor te zorgen dat de voordelen van het IoT ruimschoots opwegen tegen de risico's van de privacy, veiligheid, enz. Dit vereist de medewerking van alle belanghebbenden, inclusief overheden, fabrikanten, consumenten, enz., om ervoor te zorgen dat IoT-technologieën op een verantwoorde en duurzame manier worden ontwikkeld. Het buitenland promoot al IoT-privacy- en beveiligingswetgeving. Wetgeving moet rekening houden met de kenmerken van IoT-apparaten en -diensten en flexibele en redelijke regelgevingsmechanismen aannemen. Bijvoorbeeld, zelfs in de EU AVG, De geïnformeerde toestemming van gebruikers is niet de enige wettelijke basis voor dienstverleners om persoonlijke gegevens van gebruikers te verzamelen en te verwerken. Daarom, het privacybeleid van het internet der dingen mag niet beperkt blijven tot geïnformeerde toestemming, maar moet rekening houden met de technische kenmerken, en onder bepaalde omstandigheden, zal worden getransformeerd van voorafgaande toestemming naar gegevensbeschermingsverplichtingen tijdens het proces en na het evenement. In aanvulling, Het privacybewustzijn van consumenten is ontwaakt. Bijvoorbeeld, in een onderzoek, 77% van de consumenten geeft aan dat de privacybescherming en de veiligheid van het IoT belangrijke factoren zijn waarmee rekening moet worden gehouden bij het nemen van aankoopbeslissingen. IoT-fabrikanten moeten bij het ontwikkelen en bouwen van IoT rekening houden met de privacy van gebruikers en gegevensbeveiliging. Oefen het concept van ‘privacy by design’ en versterk de controle van gebruikers over gegevens.
Waarom is IOT veiligheid kritisch?
01. Waarom is IoT-beveiliging tegenwoordig zo cruciaal?
Vandaag, Internet of Things-apparaten en -toepassingen worden veel gebruikt in het werk en leven van mensen, en bijna alle objecten zullen intelligent worden en profiteren van de voordelen van verbinding met het wereldwijde internet.
Terwijl in de begindagen, netwerkbedreigingen waren gericht op IT-faciliteiten van ondernemingen, in de moderne wereld zijn ze wijdverspreider en frequenter geworden. Voordat we beveiligingsmaatregelen voor het internet der dingen bespreken, het is belangrijk om enkele van de netwerkbedreigingsvectoren rond het internet der dingen te begrijpen.
02. Veel voorkomende bedreigingsvectoren voor het internet der dingen
Bedreigingsvectoren verwijzen naar de paden of middelen waarmee cybercriminelen toegang kunnen krijgen tot de kernsystemen van een bedrijf die in het netwerk opereren. Enkele van de meest voorkomende bedreigingsvectoren in IoT zijn::
(1) Geen fysieke grenzen
De IoT-netwerkgrens is opener dan de traditionele internetgrens. Traditionele beveiligingsmethoden om de toegang tot apparaten te beperken zijn niet langer beschikbaar. Deze IoT-apparaten verhuizen wanneer nodig naar elke nieuwe locatie en hebben toegang tot het netwerk.
(2) Wi-Fi- en Bluetooth-gegevenslekken
Wi-Fi- en Bluetooth-configuraties in IoT zijn belangrijke bronnen van gegevenslekken. Bluetooth en WI-FI met zwakke wachtwoorden kan tijdens gegevensoverdracht gemakkelijk worden gestolen door netwerkaanvallers. Ook, in de meeste gevallen, het wachtwoord dat voor de configuratie wordt gebruikt, is niet voor elk apparaat uniek ingesteld. Als slechts één apparaat wordt aangevallen en gecompromitteerd door het netwerk, er wordt een opening gelaten voor ongeautoriseerde toegang.
(3) Fysieke toegang tot IoT-apparaten
Cyberaanvallers krijgen fysieke toegang tot IoT-apparaten en workloads, de ergste van alle bedreigingsvectoren. Met deze toegang, cyberaanvallers kunnen gemakkelijk toegang krijgen tot de interne informatie en de inhoud van IoT-apparaten. En met behulp van tools als BusPirate, Shikra, of LogicAnalyzers, ze kunnen ook al het verkeer in het netwerk lezen. Met fysieke toegang, cyberaanvallers kunnen wachtwoorden extraheren, hun programma's aanpassen, of vervang ze door andere apparaten die ze bedienen.
03. IoT versus de IT
Terwijl veel IoT-apparaten zich aan de rand bevinden, de IT-infrastructuur bevindt zich in de cloud. Bedreigingen voor de IoT-beveiliging kunnen ertoe leiden dat cyberaanvallers via IoT-dreigingsvectoren toegang krijgen tot kern-IT-netwerken. Hier zijn enkele real-life cyberaanvallen.
- Toegang tot het netwerk via het HVAC-systeem leidt tot een datalek
Volgens berichten in de media, Doel Inc., een van de toppers 10 detailhandelaren in de VS., is gehackt om te stelen 40 miljoen creditcardnummers van het bedrijf. Het is een van de grootste datalekken ter wereld. Hackers hackten HVAC-systemen door inloggegevens van derden te stelen en kregen vervolgens toegang tot bedrijfsnetwerken.
- SubwayPoS wordt getroffen door een hackeraanval
Er zijn momenteel enkele meldingen van beveiligingsbugs gerelateerd aan PoS. De inbreuk op SubwayPoS resulteerde in een verlies van $10 miljoen, met tenminste 150 van de franchises van Subway gericht. Een soortgelijke hack vond plaats bij de Amerikaanse boekhandelaar Barnes & Edele, waarin creditcardlezers bij 63 winkels werden aangevallen en gecompromitteerd.
SamSam-ransomware
Een ander bekend geval van systeeminbreuk is de cyberaanval door de SamSam-ransomware, die regeringen zoals het Colorado Department of Transportation en de haven van San Diego troffen 2018 en stopten abrupt hun diensten.
04. IoT-regelgeving
Hoewel sommige IoT-voorschriften door sommige landen en regio's zijn uitgevaardigd, ze zijn niet voldoende om de risico’s van cyberaanvallen te beperken. Californië heeft redelijke regels op beveiligingsniveau als het gaat om het beteugelen van cyberaanvallen. Insgelijks, Groot-Brittannië heeft een uniek wachtwoordbeleid geïmplementeerd, en bedrijven moeten duidelijke contactgegevens verstrekken voor IoT-apparaten die zijn aangesloten op de lokale IT-infrastructuur om kwetsbaarheden te onthullen en regelmatig beveiligingsupdates uit te voeren. Hoewel deze regelgevingsrichtlijnen door veel veiligheidscommentatoren worden verwelkomd, het is onduidelijk wie dit beleid zal handhaven. De commentator voegde eraan toe dat ze bezig waren te begrijpen hoe de regelgeving zou worden gehandhaafd via bestaande toezichthouders.
De strategieën en maatregelen van cyberaanvallers worden veel sneller bijgewerkt, en deze voorschriften kunnen jaarlijks of halfjaarlijks worden uitgevaardigd of uitgevoerd. Daarom, Het is moeilijk om de aanvallen van cyberaanvallers alleen bij te houden door te vertrouwen op regelgevingsbeleid.
05. Welke beveiligingsmaatregelen moeten bedrijven nemen
Terwijl u voldoet aan de bovenstaande voorschriften, bedrijven moeten hun beveiligingsmaatregelen ontwikkelen voor de adoptie van IoT-apparaten.
Eerst, zij moeten de veiligheid van IoT-apparaten bepalen. Het is van cruciaal belang om ervoor te zorgen dat IoT-apparaten een unieke identiteit hebben, die de basis vormen voor andere beveiligingsmaatregelen.
Dan, gebaseerd op de identiteitslaag, de software wordt beschermd door maatregelen zoals ondertekende code, firmware, enz.
Eindelijk, de onderneming moet compliance op het allerhoogste niveau hebben om te beslissen welke versies van de software zullen worden uitgevoerd.
IoT hardwarematige beveiliging
In elektronisch productontwerp, veiligheid staat voorop. Dit geldt vooral voor het complex, beperkte middelen, en het sterk verbonden Internet of Things (IoT). Het bereiken van IoT-beveiliging vereist vertrouwen op bewezen beveiligingsprincipes en waakzaamheid tegen zich ontwikkelende bedreigingen. Maar ontwerpingenieurs worden geconfronteerd met enkele IoT-beveiligingsuitdagingen wanneer ze producten op de markt brengen.
01. IoT wordt geconfronteerd met veiligheidsrisico's
IoT wordt momenteel geïntegreerd in de meeste industriële en commerciële activiteiten, inclusief openbare nutsvoorzieningen, kritische infrastructuur, vervoer, financiën, detailhandel, en gezondheidszorg. IoT-apparaten kunnen de fysieke wereld waarnemen en meten en gegevens verzamelen over verschillende menselijke activiteiten, het faciliteren van de wijdverbreide inzet van intelligente, geautomatiseerd, en autonome commando- en controletechnologieën. Via het alomtegenwoordige IoT dat slimme apparaten met elkaar verbindt, bedrijven zijn in staat werkelijk revolutionaire technologieën te creëren die elk aspect van de menselijke samenleving en het economische leven in de toekomst zullen verbeteren. Toch berichten de reguliere media bijna wekelijks over inbreuken op de digitale veiligheid. Gerapporteerde verliezen zijn vaak diefstal of misbruik van creditcardgegevens van consumenten, Dat zijn druppels op een gloeiende plaat vergeleken met de duizenden cyberaanvallen die elke dag plaatsvinden. Beveiligingsaanvallen omvatten het stelen van waardevolle gegevens en het veroorzaken van wijdverbreide schade, en nog meer, controle krijgen over kritieke systemen. Vanuit consumentenperspectief, gedistribueerde denial-of-service (DDoS) aanvallen zijn waarschijnlijk de meest voorkomende bedreiging. Het Mirai-botnet, die het hele internet ontwrichtte 2016, klonken de eerste alarmbellen, instanties bewust maken van de dreiging. Na Mirai, Aidra, Wifatch, en Gafgyt, evenals nieuwe botnets zoals BCMUPnP, Jager52, en Torii53, zijn cumulatief miljoenen IoT-apparaten binnengedrongen om hun DDoS-malware te verspreiden, cryptocurrency-mijnwerkers, en spam.
Naarmate er meer IoT-apparaten in ons werk en leven verschijnen, potentiële beveiligingsaanvallen zijn overal en op steeds grotere schaal. Neem intelligente verkeersregeling als voorbeeld. Stel je een grote stad voor met een infrastructuur van sensoren, verkeerslichten, auto mesh-netwerken, en controleapparatuur die de verkeersstroom regelt, wordt blootgesteld aan tegenstanders. Het regelen van verkeerslichten of de communicatie tussen voertuigen via draadloze netwerken op belangrijke kruispunten is niet langer het werk van Hollywood-kaskrakers, maar een reëel en serieus probleem.
Denk ook aan medische apparaten met internettoegang, slimme labels in winkels om de winkelervaring in de detailhandel te helpen verbeteren, en hoe onze apparaten zijn aangesloten. Als u uw smartphone kunt gebruiken om de kachel aan te zetten, ontgrendel het slot en schakel het alarmsysteem uit, hoe zit het met alle anderen?
Bovenstaande voorbeelden zijn voor ons allemaal relevant, maar er zijn veel situaties die onzichtbaar zijn voor de gemiddelde consument. Stel je voor Industrieel internet der dingen (IIoT) ingezet voor geautomatiseerde productieomgevingen. Wat zou de chaos zijn als er een inbreuk op de beveiliging zou plaatsvinden?, en wat zouden de financiële kosten zijn van productiestilstand en schade aan apparatuur?
Terwijl het potentieel voor aanvallen exponentieel groeit, IoT-beveiliging moet alomvattend en robuust zijn, met het vermogen om snel te herstellen.
02. Jij zou niet vertrouw alleen op een softwarebenadering
Pogingen tot afluisteren of illegaal verkrijgen van informatie zijn niets nieuws. Sindsdien werkt de Nederlandse computeronderzoeker Wim Van Eck hieraan 1985. Hij haalde met succes informatie uit het beeldscherm door het elektromagnetische veld te onderscheppen en te decoderen. Zijn baanbrekende werk benadrukte het feit dat het mogelijk was dure beveiligingsmaatregelen te omzeilen door goedkope componenten te gebruiken.
Dergelijke niet-opdringerige en passieve elektromagnetische zijkanaalaanvallen worden nu steeds geavanceerder en vormen een van de vele aanvalswapens. Andere edge-channel aanvalsmethoden omvatten differentiële vermogensanalyse (DPA) en anderen, die vaak worden gebruikt in combinatie met elektromagnetische edge-channel-aanvallen. Door deze aanval, gevoelige informatie zoals coderingssleutels, wachtwoorden, en persoonlijke identiteiten in de microcontroller van het IoT-apparaat zullen worden “gecompromitteerd” in de vorm van elektromagnetische signalen wanneer de instructies voor het verwerken van de codering worden uitgevoerd. Breedbandontvangers als softwaregedefinieerde radiotoepassingen zijn momenteel erg goedkoop en kunnen worden gebruikt voor het detecteren en opslaan van elektromagnetische signalen tijdens bedrijf.
DPA is een complexere diefmethode, die het stroomverbruik van de processor tijdens de werking van het apparaat kan begrijpen door middel van eenvoudige stroomanalyse. Omdat het door het verwerkingsapparaat verbruikte vermogen zal variëren afhankelijk van de uitgevoerde functie, discrete functies kunnen worden geïdentificeerd door het stroomverbruik te kennen. De functies van encryptie-algoritmen gebaseerd op AES, ECC, en RSA vereisen veel berekeningen en kunnen worden geïdentificeerd door analyse van vermogensmetingen. Door het energieverbruik met intervallen van microseconden te onderzoeken, komen verschillende numerieke bewerkingen naar voren die vaak in cryptografie worden gebruikt, zoals som-kwadraatvermenigvuldiging. DPA voegt statistieken en foutcorrectietechnieken toe aan eenvoudige machtsanalyse, die een uiterst nauwkeurige decodering van vertrouwelijke informatie kan realiseren.
Gegevenslekken via bekabelde of draadloze communicatie kunnen ook vertrouwelijke informatie blootleggen. Verborgen kanalen en ‘man-in-the-middle-aanvallen’ zijn effectieve manieren om gegevens te verzamelen door te luisteren naar de communicatie tussen IoT-apparaten en hostsystemen. Door deze gegevens te analyseren, kunnen apparaatbeheerprotocollen en de privésleutels worden onthuld die nodig zijn om de werking van op afstand verbonden apparaten over te nemen.
Een andere aanvalstechniek die door hackers wordt gebruikt, zijn implantaataanvallen op onbeschermde microcontrollers en draadloze systemen op een chip (SoC) apparaten. In het eenvoudigste geval, de techniek kan de voedingsspanning van de microcontroller verminderen of verstoren, vreemde fouten maken. Deze fouten kunnen er vervolgens voor zorgen dat andere beveiligde apparaten registers openen die vertrouwelijke informatie bevatten, waardoor ze worden blootgesteld aan indringers. Knoeien met het kloksignaal van het systeem door de frequentie te wijzigen, het verkeerde triggersignaal planten, of het veranderen van het signaalniveau kan ook leiden tot afwijkingen in IoT-apparaten die vertrouwelijke informatie kunnen blootleggen of ertoe kunnen leiden dat besturingsfuncties worden gemanipuleerd. In beide gevallen is fysiek nodig, maar niet invasief, toegang tot de printplaten in het apparaat.
Omdat veel van de beveiligingstechnologieën die worden gebruikt om IoT-apparaten te beveiligen, op software zijn gebaseerd, beveiligingsinformatie wordt waarschijnlijk illegaal gelezen. Standaard cryptografische versleutelingsalgoritmen zoals AES, ECC, en RSA draaien als softwarestacks op microcontrollers en embedded processors. Apparaten en software die minder kosten dan $100 kan niet alleen worden gebruikt om het energieverbruik te zien, maar ook om sleutels en andere gevoelige informatie te verkrijgen met behulp van DPA-technologie. Het is nu gemakkelijk om kant-en-klare DPA-softwaretools te verkrijgen om het hele proces te automatiseren zonder zelfs maar bedreven te hoeven zijn in deze analytische methoden.
Dergelijke aanvallen blijven niet langer beperkt tot het domein van de theorie, en ze worden op grote schaal gebruikt door hackers over de hele wereld.
Met de toenemende aanvalsintensiteit, de ontwikkelaars van IoT-apparaten en -systemen moeten hun beveiligingsmethoden heroverwegen en hun beveiligingsfuncties verbeteren om ze robuuster en veerkrachtiger te maken.
03. Hardwarebenadering van het beschermen van ikOT veiligheid
Voordat u een nieuw IoT-apparaat ontwerpt, Het is het beste om een uitgebreid inzicht te hebben in de aanvallen waaraan het apparaat waarschijnlijk wordt blootgesteld, en tegen welke soorten bedreigingen beschermd moet worden. Het is verstandig om vanaf het begin de beveiligingseisen te beoordelen en deze op te nemen in de productspecificaties. De meeste IoT-apparaten gaan doorgaans vele jaren mee, en dit alleen al zou tot meer aanvallen kunnen leiden, dus het moet worden overwogen. Daarom, Firmware-updates moeten draadloos worden uitgevoerd (OTA), en om te beschermen tegen alle aanvallen, Er is een chip-to-cloud-aanpak nodig om een op hardware gebaseerd beveiligingsontwerp te implementeren.
De onlangs door Infineon uitgebrachte OPTIGA® Trust M2 ID2-beveiligingschip is een volledig hardwaregebaseerde beveiligingsoplossing, en het grootste voordeel is dat het aanvallen op hardwareniveau kan weerstaan. Het maakt gebruik van speciaal ontworpen gestroomlijnde logica om de opslag van gegevens beter te beschermen. Ook al is het zeer professionele reverse engineering, de originele gegevens kunnen niet gemakkelijk worden gehackt en gekraakt. Sommige professionele ontwerpen en niet-standaard code-implementaties zijn eigenlijk moeilijk te analyseren en te begrijpen. Het belangrijkste punt is dat de op hardware gebaseerde beveiligingschipoplossing een vertrouwde ‘root’ voor het hele systeem kan bieden en een bron van vertrouwen voor het systeem..
IoT firmware-beveiliging
Nu het aantal IoT-terminals met grote sprongen toeneemt, de relevante regelgeving en normen voor IoT-beveiliging komen geleidelijk aan, en er zal geleidelijk aandacht worden besteed aan de firmwarebeveiliging van ingebedde apparaten met weinig middelen. Als een end-to-end IoT-beveiligingsdetectieplatform, TinyScan scant en ontgint verborgen gevoelige informatie en veiligheidsrisico's echt vanaf de bron. Zowel firmwareontwikkelaars als firmwaregebruikers kunnen deze tool gebruiken om de beveiligingsstatus van de opgegeven firmware onder de knie te krijgen en gerichte bescherming of ontduiking uit te voeren, waardoor het aantal IoT-beveiligingsproblemen dat wordt veroorzaakt door kwetsbaarheden in de firmware wordt verminderd.
In het tijdperk van het internet der dingen, een drielaags structuurmodel van perceptie, overdragen, en applicatie wordt vaak gebruikt, en ingebedde apparaten zoals sensoren, poorten, en controllers die over de drie lagen zijn verdeeld, hebben een groot aantal nieuwe beveiligingsproblemen geïntroduceerd: architectuur.
01. Ssysteembeveiliging
Momenteel, de reguliere embedded besturingssystemen worden nog steeds gedomineerd door Linux of Linux-derivaten, en verschillende bedrijven passen en ontwikkelen Linux-systemen volgens hun productvereisten en kenmerken. Echter, vanwege het feit dat de bronnen van ingebedde apparaten beperkt zijn, het is moeilijk om bestaande beveiligingsoplossingen volledig te transplanteren naar IoT-apparaten.
02. Componentbeveiliging
Omdat embedded apparaten Linux als besturingssysteem gebruiken, er zullen ongetwijfeld veel open source-componenten worden gebruikt. De verborgen problemen van sommige open source-componenten in de C/S-modus kunnen in het tijdperk van het Internet of Things worden herontdekt en gebruikt. Omdat er tegelijkertijd een groot aantal identieke IoT-apparaten in de ruimte zijn, als de firmware van het apparaat niet tijdig wordt geüpgraded nadat er een kwetsbaarheid is opgetreden, het kan zware verliezen veroorzaken.
03. R&D Veiligheid
In het internettijdperk, de client heeft geen directe toegang tot en controle over de server, maar dit fenomeen is veranderd in het tijdperk van het internet der dingen. Via de open source reverse tool, gebruikers kunnen eenvoudig de configuratiebestanden en platte tekstinformatie verkrijgen die in de apparaatfirmware is achtergebleven, en verkrijg vervolgens direct de toegangsrechten van het apparaat, die een bedreiging vormen voor een groot aantal apparaten met dezelfde specificaties.
We moeten beveiligingsanalyses uitvoeren op firmware vanuit de volgende dimensies, en voer de analyseresultaten uit in de vorm van rapporten.
(1) Beveiligingsanalyse van bestandssysteemservices
● Scant en verkrijgt automatisch de basisinformatie van het firmwarebestandssysteem, inclusief de CPU-architectuur, installatie tijd, compressiemodus, type, maat, en opslagmodus van het bestandssysteem.
● Na het verkrijgen van de basisinformatie over het bestandssysteem, u kunt het type scandoel bepalen en overschakelen naar verschillende scanengines.
(2) Systeem & serviceanalysecodering
● Systeemservice-informatie verkrijgen, inclusief systeemservicepad en MD5-waarde.
● Door de systeemservice-informatie te verkrijgen, de zelfopstartstatus van de systeemservice kan bekend zijn, en de informatie, bijvoorbeeld of er onbekende kwaadaardige scripts bestaan in de zelfstartservice, kan snel worden geleerd.
(3) Onderdeel & software veiligheidsanalyse SPA
● Directioneel scannen, systeemcomponent verkrijgen & software-informatie, inclusief onderdeel & softwarepad, beschrijving, en websiteadres;
● Door het onderdeel te verkrijgen & software-informatie, u kunt snel de versie-informatie van het onderdeel verkrijgen & software die in de firmware is geïnstalleerd, en voer vervolgens een beveiligingsscan uit.
(4)Ophalen van gebruikerswachtwoord
● Directionele scan, verkrijgen van gebruikerswachtwoordinformatie, inclusief wachtwoordgerelateerd bestandspad, en wachtwoordinformatie;
● Nadat het gebruikerswachtwoord is opgehaald, het lekken van wachtwoordinformatie veroorzaakt door niet-standaardontwikkeling in firmware kan aan het licht worden gebracht.
(5) Analyse van de beveiliging van encryptie-authenticatie
● Scant automatisch de versleutelde authenticatiebestandsinformatie en verkrijgt deze, inclusief het pad en de coderingsinformatie van het coderingsauthenticatiebestand;
● Na de detectie van encryptie-authenticatie, het lekken van encryptie-authenticatie-informatie veroorzaakt door de niet-standaard ontwikkeling in de firmware kan aan het licht worden gebracht.
(6) Analyse van gevoelig informatiebeveiliging
Automatisch scannen en verkrijgen van verdachte gevoelige informatie in firmware omvat, maar is niet beperkt tot, hardgecodeerde token/sleutel, configuratie hardgecodeerd wachtwoord, hardgecodeerd IP-adres, hardgecodeerd HTTP-adres, lekkage van cachebestanden, enz., die gevoelige informatielekken veroorzaakt door niet-standaardontwikkeling in firmware kunnen blootleggen.
(7) Detectie van CVE-kwetsbaarheid
Detecteer snel CVE-kwetsbaarheidsinformatie in het bestandssysteem, inclusief CVE-ID, tijd vrijgeven, beschrijving, en niveau. Na de detectie van de CVE-kwetsbaarheid, u kunt de nieuwste CVE-kwetsbaarheidsinformatie verkrijgen van de software die in de huidige gescande firmware is geïnstalleerd.
internet van dingen(IoT) software-beveiliging
72% van de leiders op het gebied van informatiebeveiliging zegt dat cloud computing een topprioriteit is voor digitale transformatie. Cloudgebaseerde IoT-software integreert zowel digitale als fysieke beveiligingselementen, zodat gegevens toegankelijk en misbruikt kunnen worden door veiligere telefoons.
Wat kan cloudgebaseerd zijn IoT-software veiligheidsbescherming brengen? In dit artikel leggen wij u uit hoe IoT-software effectief kan helpen de beveiliging op het gebied van security te verbeteren. Ook wordt geïntroduceerd hoe digitale en fysieke beveiligingselementen kunnen worden gecombineerd om beveiligingsincidenten aan te pakken.
01. De impact van cloudgebaseerde IoT-software
Cloudgebaseerde IoT-software wordt in het bedrijfsleven op verschillende manieren gebruikt. En cloudgebaseerde oplossingen bieden voordelen op het gebied van beveiliging. In de kern, IoT-technologie transformeert het bedrijfsleven, het vernieuwen van de manier waarop bedrijven werken.
02. Integreer cloudgebaseerde oplossingen om data te benutten
Data zijn in elke branche van groot belang, en het veiligheidsveld is daarop geen uitzondering. Met cloudgebaseerde oplossingen, Door gegevens en informatie op één enkele interface op te slaan, kunnen bedrijven op de hoogte blijven van wat er in het bedrijf gebeurt.
In aanvulling, door AI-ondersteunde software en cloudgebaseerde oplossingen te combineren, beveiligingspersoneel kan potentiële veiligheidsbedreigingen beter identificeren. Door gebruik te maken van cloudgebaseerde IoT-technologieën kan de productiviteit worden verhoogd. Vanwege de uitgebreide verantwoordelijkheden van beveiligingspersoneel, real-time monitoring van de camera’s is niet mogelijk. IoT-technologie kan beveiligingspersoneel helpen om op elk gewenst moment camera-informatie te ontvangen en feedback te registreren, overal, helpen een beter veiligheidsbeleid tot stand te brengen. Sommige IoT-oplossingen bieden realtime waarschuwingen aan beveiligingspersoneel, waarbij realtime video- en AI-analysetools worden gecombineerd om de functionaliteit van het beveiligingssysteem te verbeteren en de reactie op beveiligingsincidenten te versnellen.
03. combinerene de kracht van fysiek en cyber veiligheid
Het combineren van digitale en fysieke beveiliging is gunstig voor het optimaliseren van IoT-beveiligingssystemen, helpen systemen te beschermen tegen online inbreuken en inbreuken. Plus, fysieke beveiligingsmaatregelen helpen vertrouwelijke informatie te beschermen tegen hackers. Hoe sterker de samensmelting van digitale beveiligingselementen en fysieke beveiligingsteams, des te beter beschermd een organisatie zal zijn.
04. Automatische software-updates
Het up-to-date houden van alle software is uiterst belangrijk om ervoor te zorgen dat uw organisatie niet wordt blootgesteld aan cyberveiligheidsbedreigingen, zelfs als IoT-systemen worden geschonden. Traditioneel, lokale beveiligingssystemen worden bij elke nieuwe upgrade handmatig bijgewerkt door gecertificeerde professionals. Met behulp van cloudgebaseerde software, updates kunnen niet alleen ter plaatse of op afstand worden uitgevoerd, maar kan ook geautomatiseerd worden, kosten sterk reduceren.
05. Functie op afstand
Met de flexibele ontwikkeling van IoT-cloudtechnologie, beveiligingspersoneel kan beveiligingshulpmiddelen op afstand bedienen met behulp van mobiele apparaten. Bijvoorbeeld, Met het video-intercomsysteem dat in het huidige toegangscontrolesysteem wordt gebruikt, kan beveiligingspersoneel de identiteit van de bezoeker verifiëren door een videogesprek te voeren met de smartphone van de bezoeker. In aanvulling, het intercomprogramma ondersteunt ook ontgrendeling op afstand. Wanneer de identiteit van de bezoeker wordt bevestigd, de deur kan op afstand worden ontgrendeld zodat de bezoeker naar binnen kan. Door het gebruik van cloudgebaseerde IoT-technologie, de authenticatieprocedure voor bezoekers wordt vereenvoudigd en de verificatietijd wordt sterk verkort waardoor bezoekers sneller het gebouw kunnen betreden.
06. Samenvatten
Het adopteren van een cloudgebaseerd systeem IoT-oplossing in de beveiligingsstrategie van een onderneming is bevorderlijk voor het creëren van een beveiligingssysteem dat gelijke tred houdt met de tijd. Cyberbeveiliging is de dreiging en uitdaging waarmee ondernemingen worden geconfronteerd bij het gebruik van IoT-technologie. Maar door fysieke en digitale beveiligingselementen te combineren, cloudgebaseerde IoT-systemen kunnen grotendeels worden beschermd tegen kwetsbaarheden en beter worden beschermd om bedrijven te helpen omgaan met het veranderende beveiligingslandschap.
internet van dingen(IoT) netwerk veiligheid
Tegelijkertijd met de snelle ontwikkeling van het Internet of Things, veiligheidsproblemen van het Internet of Things komen ook vaak voor. Sommige mijnbouw- en apparatuurkapingsincidenten vonden herhaaldelijk plaats. Smart Home-producten blijven gaten in de beveiliging doorbreken, die onomkeerbare economische verliezen zullen veroorzaken wanneer de mazen in de wet worden uitgebuit. Tegelijkertijd, het weerspiegelt ook het belang van beveiliging als infrastructuur voor de toepassing van het Internet der Dingen in de vroege fase van de opbouw van de Internet der Dingen-industrie.
In de afgelopen jaren, met de doorbraak van sleuteltechnologieën zoals 5G, de ontwikkeling van het internet der dingen is met grote sprongen vooruitgegaan. Tegelijkertijd, vanwege de impact van Covid-19, de kantoorvormen van werken op afstand zijn toegenomen, wat niet alleen bedrijven gemak biedt, maar hackers ook gemak biedt om vertrouwelijke bedrijfsinformatie aan te vallen.
Het Internet of Things is doorgedrongen tot alle aspecten van ons leven. Frequente aanvallen op slimme apparaten vormen een bedreiging voor de persoonlijke privacy en veiligheid. Kritieke infrastructuur wordt ook geconfronteerd met enorme risico's bij het realiseren van digitale netwerktransformatie. IoT-beveiliging vereist het opstellen van redelijke beheerplannen en -regelgeving om tijdige detectie en efficiënt herstel van risico's te garanderen.
IoT-beveiligingsvraagstukken hebben vooral betrekking op gegevensbeveiliging, privacy, replicatie, en RFID-systeembedreigingen.
- Aanvallen op RFID: RFID-technologie is een populaire Internet of Things-technologie, momenteel vooral gebruikt in “onbemande supermarkten” en andere terreinen.
- Aanval op WSN: WSN is het draadloze sensornetwerk. De onderste laag van het Internet of Things is de perceptielaag. Deze laag bevat een groot aantal sensoren. Wanneer de sensoren werken, ze zullen een grote hoeveelheid gegevens genereren. Zodra ze tijdens het transmissieproces door criminelen worden onderschept, de gevolgen zullen onvoorstelbaar zijn. WSN heeft momenteel gerelateerde toepassingen in het leger.
- Aanvallen op routers: Routers zijn zeer belangrijke netwerkapparaten. Eenmaal aangevallen, het netwerk kan verlamd raken. In aanvulling, er zijn aanvallen op communicatielijnen, aanvallen op gebruikers, en aanvallen op servers.
Specifiek, De belangrijkste veiligheidsbedreigingen waarmee het internet der dingen momenteel wordt geconfronteerd, kunnen worden samengevat als drie aspecten van de ‘cloud’, pijp, en een einde maken aan de veiligheid:
(1)Internet of Things-terminalbeveiliging
Het eerste aspect is de beveiliging van IoT-terminals. Als representatief product van de diepe integratie van informatieruimte en fysieke ruimte, IoT-terminals zijn snel uitgebreid van baanbrekende producten voor persoonlijke consumptie naar verschillende gebieden van de economie en de samenleving. Het schenkt onderwijs, medische zorg, detailhandel, energie, bouw, auto, en vele andere industrieën met nieuwe servicemiddelen, en ondersteunt de verbetering van stedelijke basisfuncties, zoals overheidskantoren, publieke veiligheid, vervoer, en logistiek. Bestaande IoT-eindapparatuur richt zich op functierealisatie, terwijl fabrikanten van traditionele apparatuur onvoldoende beveiligingsmogelijkheden hebben, Houd rekening met factoren als tijd en kosten, en negeren over het algemeen beveiligingsproblemen bij het terminalontwerp.
IoT-terminals kunnen worden onderverdeeld in intelligente terminals en niet-intelligente terminals. De meeste intelligente eindapparaten hebben ingebouwde besturingssystemen en terminaltoepassingen, terwijl de meeste niet-intelligente eindapparaten een enkele structuur en functie hebben, en voeren alleen functies uit zoals het verzamelen en verzenden van gegevens. Daarom, intelligente eindapparaten vormen een grotere bedreiging voor de informatiebeveiliging.
(2) Beveiliging van IoT-pijpleidingen
Het tweede aspect is de beveiliging van IoT-pijplijnen. De ‘buis’ van het internet der dingen is de pijplijn die de ‘wolk’ en het ‘einde’ verbindt. De veiligheid van de ‘buis’ van het internet der dingen is de veiligheid van de informatiepijplijn met grote capaciteit en intelligentie. Dat blijkt uit onderzoek naar de informatiepijplijn van het internet der dingen, Er is vastgesteld dat er vier belangrijke veiligheidsbedreigingen zijn voor de pijplijnbeveiliging van het internet der dingen.
(3)Internet of Things-cloudservicebeveiliging
Derde, Internet of Things-cloudservicebeveiliging. In het algemeen, Clouddiensten van Internet of Things worden ingezet bij het delen van informatie met andere partijen. Daarom, Het beschermen van de veiligheid van clouddiensten is ook een belangrijke schakel in het beschermen van de veiligheid van het internet der dingen.
Manieren om de beveiliging van het Internet der Dingen te verbeteren
Bedrijven moeten de beveiliging van IoT-apparaten verbeteren, anders zullen ze enorme financiële verliezen en reputatieschade veroorzaken. Gegevensversleuteling en interne monitoring zijn enkele van de manieren waarop bedrijven zich kunnen concentreren op het verbeteren van de beveiliging van IoT-apparaten.
01. Gebruik cloudinfrastructuur en softwarebescherming
Het Cumulonimbus-netwerkapparaat houdt het apparaat veilig omdat het helpt de vertrouwelijkheid en integriteit van de door het apparaat geregistreerde informatie te behouden. Tegelijkertijd, de informatie in de uitwisseling kan worden gecodeerd en beschermd tegen hackers.
02. Ontwerp A veiligheid apparaat en creëer een apart netwerk
Het ontwerpen van een beter apparaat gericht op het verbeteren van de beveiliging van IoT-apparaten is belangrijk. Een tijdige interne beoordeling van het gedrag van het apparaat onder bepaalde omstandigheden is belangrijk om het systeem van het apparaat te veranderen.
03. Toepassen IOT API naar te waken tegen identiteitsfraude
De rol van API-beveiliging is ervoor te zorgen dat alleen geautoriseerde apparaten met elkaar kunnen communiceren. Bedrijven en gebruikers kunnen op de hoogte worden gesteld van elke ongeautoriseerde toegang en werking van het systeem.
In de wereld van vandaag, Het aantal IoT-apparaten dat in gebruik is, neemt toe. Tegelijkertijd, De IoT-ontwikkeling staat voor uitdagingen. Bedrijven moeten geleidelijk het belang van IoT-beveiliging onderkennen en de technologie om de veiligheid van apparaten te beschermen verder verbeteren.
Voor welke industrieën zijn het meest kwetsbaar IOT bedreigingen voor de veiligheid?
IoT-beveiligingsproblemen zijn doordringend in alle sectoren en vakgebieden. Het is te zeggen, zolang de industrie verband houdt met mensenlevens en eigendommen, het is kwetsbaar voor de veiligheidsdreiging van het internet der dingen.
Bijvoorbeeld, een aanval op een koelsysteem waarin een medicijn zit, gemonitord door een IoT-systeem, kunnen de levensvatbaarheid van een medicijn verstoren als de temperatuur fluctueert. Insgelijks, de impact van aanvallen op oliebronnen, watersystemen, en energienetwerken, kritieke infrastructuur die een grote invloed heeft op het menselijk leven, kan verwoestend zijn.
Echter, andere aanvallen mogen niet worden onderschat. Bijvoorbeeld, Door een aanval op een slim deurslot kunnen dieven een slim huis binnendringen. Of, in andere gevallen, zoals de 2013 Target hack of andere inbreuken op de beveiliging, aanvallers kunnen malware verspreiden via verbonden systemen (het HVAC-systeem in het doelgeval) om persoonlijk identificeerbare informatie te stelen en grote schade aan te richten onder de getroffenen.
01. Hoe kan IOT systemen en apparaten worden beschermd
De IoT-beveiligingsaanpak is afhankelijk van de IoT-toepassing en waar het bedrijf zich bevindt in het IoT-ecosysteem. De ontwikkeling en integratie van veilige software moet een belangrijk aandachtspunt zijn aan het begin van IoT-software. Het inzetten van IoT-systemen vereist aandacht voor authenticatie en hardwarebeveiliging. Insgelijks, voor exploitanten, het up-to-date houden van systemen, het verminderen van malware, auditinfrastructuur, en het beveiligen van inloggegevens zijn van cruciaal belang.
Beveiligingsnormen en wetgeving voor het internet der dingen (de VS en Europa)
01. EU-beveiligingsrichtlijnen voor het internet der dingen
Het EU Cyber Security Agency heeft beveiligingsrichtlijnen voor het internet der dingen uitgegeven. Op 9 November 2020, het Cyberveiligheidsagentschap van de Europese Unie (ENISA) publiceerde de beveiligingsrichtlijnen voor het internet der dingen (IoT) (hierna te noemen de Richtlijnen), dat tot doel heeft IoT-fabrikanten te helpen, ontwikkelaars, integratoren, en belanghebbenden die eigenaar zijn van IoT-toeleveringsketens nemen de beste beslissingen bij het bouwen, inzetten, of het evalueren van IoT-technologieën. Het doel van de richtlijnen is het definiëren en identificeren van IoT-beveiligingsuitdagingen en -bedreigingen om de veiligheid van de IoT-toeleveringsketen te waarborgen. De Richtlijnen geven vijf aanbevelingen: Eerst, IoT-entiteiten moeten betere relaties met elkaar opbouwen, inclusief het geven van prioriteit aan samenwerking met leveranciers die cyberveiligheidsgaranties bieden, werken aan het verbeteren van de transparantie, het ontwikkelen van innovatieve vertrouwensmodellen, en het bieden van beveiligingsverplichtingen aan klanten. De tweede is het verder populariseren van de professionele kennis op het gebied van netwerkbeveiliging, het onderhoud en de opleiding van professionals te versterken, en het veiligheidsbewustzijn van gebruikers van het internet der dingen vergroten. Derde, beveiliging wordt bereikt door het verbeteren van IoT-ontwerpnormen, inclusief de adoptie van beveiligingsontwerpprincipes, het gebruik van opkomende technologieën voor veiligheidscontrole en audit, en de implementatie van mechanismen voor updates op afstand. Vierde, een meer alomvattende en expliciete aanpak hanteren om de veiligheid te verbeteren, inclusief het opstellen van uitgebreide testplannen, het integreren van authenticatiemechanismen in circuits, en standaard fabrieksinstellingen gebruiken. Vijfde, ten volle gebruik maken van bestaande normen en succesvolle praktijken om de productveiligheid en de kwaliteit van de dienstverlening in de toeleveringsketen te verbeteren.
02. De VS. Internet der Dingen Cyber Wet ter verbetering van de veiligheid van 2020
Het wetsvoorstel is in september aangenomen 14, 2020. Gezien het feit dat de beveiliging van IoT-apparaten een opkomende cyberuitdaging is met een nationale veiligheidsprioriteit, Het wetsvoorstel heeft tot doel de veiligheid van federale met internet verbonden apparaten te verbeteren door cyberveiligheidsproblemen aan te pakken voordat IoT-apparaten in federaal gebruik worden geïntroduceerd. De wet vereist dat alle IoT-apparaten die door de federale overheid worden gebruikt, voldoen aan de minimale beveiligingsnormen die zijn gepubliceerd door NIST.
03. Australische praktijkcode: IOT Bescherming voor consumenten
De wet is in september door de Australische regering gepubliceerd 3, 2020, en wordt gezien als een eerste stap in de richting van het verbeteren van de beveiliging van IoT-apparaten in het land. Gezien het mondiale karakter van de beveiliging van IoT-apparaten, de door de Gedragscode voorgestelde branchenormen zijn consistent met andere internationale normen en zijn daarop gebaseerd 13 principes, voornamelijk inclusief geen herhaling van zwakke of standaardwachtwoorden, implementatie van beleid inzake openbaarmaking van kwetsbaarheden, voortdurende softwarebeveiligingsupdates, Inloggegevens worden veilig opgeslagen, de bescherming van persoonsgegevens is gewaarborgd, blootstelling aan aanvalsoppervlakken wordt geminimaliseerd, communicatie is beveiligd, software-integriteit is gewaarborgd, systemen zijn bestand tegen onderbrekingen, meetgegevensbewakingssystemen, enz. Onder hen, cryptografie, openbaarmaking van kwetsbaarheden, en beveiligingsupdates worden aanbevolen als de drie belangrijkste principes waaraan de industrie prioriteit geeft, omdat ze in korte tijd de grootste beveiligingsvoordelen mogelijk maken.
04. Overeenkomsten en verschillen tussen Europeanen, ONS, en Australische IoT-beveiligingswetten en -richtlijnen
De wetten verbeteren de beveiligingsnormen voor IoT-apparaten op veel manieren. Dit artikel introduceert een aantal beveiligingsstandaarden voor IoT-apparaten in de Europese Unie, de Verenigde Staten, en Australië, zoals ervoor zorgen dat de complexiteit van het apparaatwachtwoord hoog genoeg is, authenticatiemethoden met meerdere factoren, het waarborgen van de veiligheid van identiteitsreferenties, zoals veilige opslag, tijdige openbaarmaking, en reparatie van beveiligingsproblemen, het verstrekken van regelmatige beveiligingsupdates om de blootstelling aan cyberaanvallen te minimaliseren en meer.
Alle drie de wetten zijn gericht op het versterken van de bescherming van de persoonlijke privacy in het internet der dingen. Wetten en richtlijnen in de EU, ONS, en Australië maken privacybescherming allemaal tot een belangrijk onderdeel van IoT-beveiliging. Bijvoorbeeld, Australië heeft in zijn praktijkcode voorgesteld dat IoT-apparaten standaard privacybescherming moeten hebben, en dat persoonsgegevens moeten worden verwerkt met voorafgaande toestemming van de gebruiker. En het apparaat moet gebruikers ondersteunen om op elk moment persoonlijke gegevens te verwijderen en het recht en de tijd hebben om de privacy in te trekken, om de bescherming van de persoonlijke privacy en gevoelige gegevens van gebruikers te maximaliseren.
De reikwijdte en het doel van de wetten zijn verschillend. De Australische Gedragscode is consumentgericht, helpen het bewustzijn te vergroten van de beveiligingsmaatregelen die verband houden met IoT-apparaten, het vergroten van het consumentenvertrouwen in IoT-technologie, en Australië in staat stellen te profiteren van de uitrol ervan. De EU-richtlijnen zijn gericht op entiteiten in de IoT-toeleveringsketen, zoals ontwikkelaars van IoT-apparaten en software, fabrikanten, beveiligingsexperts, inkoopteams, en andere supply chain-entiteiten. Door het bestuderen van en reageren op verschillende veiligheidsbedreigingen waarmee de toeleveringsketen in verschillende stadia wordt geconfronteerd, het doel van het bouwen van een veilig IoT-ecosysteem is bereikt. De Amerikaanse wet heeft voornamelijk betrekking op de Amerikaanse federale overheid en heeft tot doel de veiligheidsbeoordeling van IoT-apparaten door de overheid te reguleren en ervoor te zorgen dat IoT-apparaten die door overheidsinstanties worden gekocht en gebruikt, aan de beveiligingsnormen voldoen..
Overheidsregulering van IoT-beveiliging heeft verschillende effecten. De EU-richtlijnen en de Australische Praktijkcode zijn niet verplicht, zoals aanbevolen maatregelen door relevante overheidsinstanties. De VS. Het wetsvoorstel is van overheidswege en bevat verschillende mandaten, zoals een expliciete vereiste voor het National Institute of Standards and Technology (NIST) om standaarden en richtlijnen te publiceren voor het gebruik van internetapparaten binnen de beveiliging 90 dagen na de inwerkingtreding van het wetsvoorstel door het federale agentschap om uitvoerende agentschappen en begrotingen te begeleiden. Voer internetcensuur uit; de federale overheid en agentschappen zullen geen IoT-apparaten kopen of gebruiken die niet aan de beveiligingseisen voldoen.