Technewsworld网站今日消息,很难说服您的音响系统选择和播放特定歌曲,或者仅用声音就可以在线订购某些东西,或者在食物不足时让冰箱告诉您,或者让办公室打印机进行自我诊断并自动要求供应商提供服务。
诸如此类的功能推动了对智能办公室,智能家居,智能设备,智能建筑和智能城市的需求-所有这些都通过物联网(IoT)进行连接。
物联网是配备有传感器,软件和其他技术的物理对象网络,用于通过Internet与其他设备和系统交换数据。其中包括嵌入式系统,无线传感器网络,控制系统,家庭和楼宇自动化系统,智能家居设备以及智能手机和智能扬声器。
根据数字化转型研究公司Transforma Insights的数据,到2019年底,全球有76亿台活跃的IoT设备,到2030年将达到241亿个。
连接的泰迪熊-等待,什么?
在2020年在家办公的必不可少的刺激下,人们已经将大量非商业设备连接到他们的公司网络。有些是可以预见的,而另一些则可能令人惊讶。例如,根据全球网络安全公司Palo Alto Networks的2020 IoT安全报告,泰迪熊和其他玩具,运动器材(例如运动机,游戏设备和联网汽车)。
连接到物联网网络的设备数量和种类不断增加,这使得实施网络安全变得越来越困难,因为每个设备都是潜在的弱点。
例如,可能会由于陷入僵局而入侵大量联网汽车,从而关闭城市。
智能建筑甚至城市都可能遭到黑客入侵,从而破坏了控制HVAC系统,火灾报警器和其他关键基础设施的自动化系统。据报道,数字入侵者已经通过智能恒温器进入房屋,通过远程调高温度来恐吓家庭。然后通过连接到互联网的摄像头与居民交谈。
在医疗保健行业中,黑客攻击的影响可能最严重,因为设备故障或劫持会危及生命。
安全厂商Tripwire的作者Anastasios Arampatzis写道:“连接的医疗设备-从启用WiFi的输液泵到智能MRI机器-扩大了共享信息的设备的攻击面,并引发了包括隐私风险和潜在违反隐私法规在内的安全隐患。 。
抓住首席执行官的脚
那么,谁来负责物联网网络的网络安全呢?单个电器或设备的供应商?谁拥有或运营网络?使用物联网网络的公司或组织?
全球研究和咨询公司Gartner预测,到2024年,将有75%的CEO对攻击Gartner所谓的网络物理系统(CPS)负有个人责任。
Gartner将CPS定义为“经过精心设计以协调感测,计算,控制,网络和分析以与包括人类在内的物理世界进行交互的系统”。
这些系统“为所有连接的IT,运营技术(OT)和物联网(IoT)的努力提供了支持,在这些方面,安全性考虑既涉及网络又涉及物理世界,例如资产密集型,关键基础设施和临床医疗环境。”
OT由直接通过监视和/或控制来检测或引起工业设备,资产,过程和事件变化的硬件和软件组成。
换句话说,到2024年,可能有75%的CEO对物联网安全失败负责。为什么是CEO? Gartner研究副总裁Katell Thielemann写道,由于监管机构和政府将为应对因未能确保CPS安全而导致的严重事件的增加而大幅提高对CPS的管理法规。 “不久之后,首席执行官们将无法对保险政策提出无知或退缩。”
使首席执行官负有责任“绝对有可能,并且与根据2002年《萨班斯-奥克斯利法案》要求首席执行官对其财务证明的准确性和合法性负责的方式一致,”安全意识培训的首席传道人兼战略官Perry Carpenter公司KnowBe4告诉TechNewsWorld。
制定《萨班斯法案》是为了打击公司欺诈行为。
全国公司董事协会(NACD)“意识到网络安全以及扩展到网络安全应该是一个甚至上升到董事会水平的问题,”卡彭特说。 “它已经发布了如何这样做的指导。”
公司可以购买网络保险,但是网络保险政策“如果公司没有达到很高的安全标准,就会因不付款而臭名昭著,”卡彭特指出。
此外,“监管机构不会急于为可能明显过失的首席执行官和公司提供便利。”
基于风险的方法可行吗?
全球管理咨询公司麦肯锡公司(McKinsey&Co.)发现,企业之间正在采取一种基于风险的方法来进行网络安全的举措,但这并不能为首席执行官提供全面的保护。
CDW表示,基于风险的信息安全方法可让组织采用针对其独特的运营环境,威胁态势和业务目标量身定制的策略,该机构为美国,英国和加拿大的企业,政府,教育和医疗保健客户提供技术解决方案。他们让采用者“了解风险缓解措施的影响,全面了解风险并填补其他安全措施可能留下的空白。基于风险的方法的使用恰好适合企业风险管理(ERM)策略被许多组织采用。”
“风险永远是等式的一部分,”卡彭特说。 “问题出在组织或首席执行官对风险的容忍度高到令人无法接受的程度,或者只是选择把自己的头埋在沙子里。”
众所周知,不存在完全安全的系统,因此让CPS失败负责的首席执行官难道不是过分杀伤力吗?
Carpenter说:“关键不是要提供100%的保护,而是要确保对系统的架构给予适当的关注。CEO不能仅仅举手并使用[100%的事实。安全是不存在的],以此为借口,他们需要牢记安全性和弹性。
手指没那么简单
尽管可能与《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)有相似之处,但怪罪的问题将不容易解决。
全球网络安全公司Gurucul的首席执行官Saryu Nayyar告诉TechNewsWorld:“最终,首席执行官要负责其组织的运作,但实际情况要比仅仅在这里“止步不前”要细致入微。
纳亚尔说:“网络攻击很复杂,通常涉及许多动人的部分。” “将首席执行官的责任归咎于首席执行官,这可能不合适。”
就是说,当首席执行官未能为自己的安全团队设定高标准或确保达到标准时,应该对个人负责。
目前尚不清楚谁应该或应该承担责任,Allure Security的创始人兼首席技术官Salvatore Stolfo告诉TechNewsWorld,这是一种安全的服务即服务应用程序,可防止网络钓鱼诈骗。
“是制造不安全的物联网设备的公司的首席执行官,还是购买和部署它们的公司的首席执行官?”他问。 “目前没有立法明确指出谁将承担责任。”
让首席执行官亲自负责的另一种选择是采用网络空间日光浴室委员会(CSC)的建议,以使物联网设备制造商有责任出售有缺陷的产品或不提供基本的安全功能,包括在已知安全漏洞时能够更新设备软件按照斯托尔佛的建议。
这是CSC提出的80项建议之一,该委员会成立于2019年,旨在在捍卫美国网络空间方面达成共识。
如何使IoT网络更安全
Palo Alto Networks建议采取以下步骤来保护IoT网络的安全:
利用设备发现功能来获取有关连接到IoT网络的设备的数量和类型,其风险概况以及其可信赖的行为的详细,最新清单;
将您的网络分段以将IoT设备包含在它们自己严格控制的安全区域中,使它们与IT资产分开;
采取安全密码做法,将新连接的物联网设备的默认密码替换为遵循企业密码策略的安全密码;
继续修补和更新固件(如果可用);和
始终积极监控物联网设备。
运营技术(OT)和IoT安全公司Nozomi Networks的联合创始人安德里亚·卡卡诺(Andrea Carcano)告诉TechNewsWorld,确保物联网网络安全需要购买一系列设计安全的产品,并采取全面的安全措施。
Carcano说:“ IT专业人员不再只是担心IT网络的安全性和连接性。” “他们必须考虑其网络和物理系统的安全性。”

头像

By szf