К 2023 году миллиарды устройств Интернета вещей (IoT) найдут свое применение практически во всех сферах жизни, промышленности и критически важных инфраструктурах. Поскольку эти постоянно подключенные интеллектуальные устройства обрабатывают очень конфиденциальные данные, их актуальность имеет важное значение, особенно во время хакерских атак, неправомерного использования данных или промышленного шпионажа.
В этом контексте новое исследование Fraunhofer ISI проанализировало данные 52 миллиардов устройств, их географическое расположение , а также актуальность установленной прошивки и влияние на это Общего европейского регламента по защите данных. Результаты показывают, что возникновение очень серьезных кибератак — лишь вопрос времени.
Пользователи отслеживают свое здоровье и физическую форму с помощью носимых устройств, размещают в своих гостиных умные колонки с мощными микрофонами и устанавливают дешевые датчики от безымянных производителей для автоматизации задач в своих умных домах. То же самое относится и к промышленности, где устройства промышленного Интернета вещей подключают и контролируют, например, машины. Большинство этих устройств быстро забываются, как только они устанавливаются и запускаются.
Возможные уязвимости в устаревшем встроенном ПО, а также обновлениях или исправлениях часто игнорируются, даже если некоторые производители IoT-устройств их предоставляют, что не всегда так, поскольку многие из них отдают приоритет быстрому выходу на рынок и лишь изредка предоставляют обновления и исправления программного обеспечения или встроенного ПО. . Это может создать серьезные угрозы конфиденциальности и безопасности пользователей.
Политики во всем мире осознали эти угрозы, с которыми сталкиваются пользователи, и применяют строгие правила, такие как Европейский GDPR. Кроме того, «право на обновления», предусмотренное директивой ЕС и вступающее в силу с 2022 года, является еще одним важным шагом на пути к более безопасным устройствам. Совсем недавно комиссия ЕС подписала Закон о киберустойчивости, который вводит юридическое обязательство производителей предоставлять потребителям своевременные обновления безопасности в течение нескольких лет после покупки.
Какое влияние это окажет на производителей интеллектуальных устройств?
Новое исследование попыталось дать ответы на этот и другие вопросы и проанализировало 400 терабайт реальных данных поисковой системы Интернета вещей Censys.io с октября 2015 года до конца ноября 2021 года. Анализ состоит из данных с 52 миллиардов устройств. Из них 175 миллионов устройств предоставили поддающуюся анализу информацию, в результате чего был получен набор данных, содержащий 7116 различных моделей от 384 производителей, разделенных на 17 различных типов устройств.
Данные позволяют сравнивать самые разные страны, а именно все государства-члены ЕС, страны «Большой семерки» и Швейцарию, а также Россию и Украину, а также азиатские страны, такие как Малайзия, Индонезия, Сингапур, Япония и Великобритания. что большинство устройств развернуто в США (52%), за которыми следуют Германия (7%), Россия (4%), Великобритания (4%), Япония (4%), Франция (4%), Канада. (3%), Польша (3%), Сингапур (1%), Индонезия (1%) и другие страны (16%).
Серьезные риски кибербезопасности из-за старой прошивки и возраста устройства
Если рассматривать статус-кво на конец 2021 года, то возраст прошивки, работающей на устройствах в Германии, составляет 689 дней, соответственно 1,9 года (года). Кроме того, устройства не получали никаких других обновлений ( обновлений программного обеспечения , патчей и т. д.) в течение почти года (351 день).
На уровне ЕС ситуация еще хуже: задержка обновления прошивки составляет 930 дней (2,5 года), а другие обновления игнорируются в течение 411 дней (1,1 года). Это означает, что использование многих из этих устройств связано с серьезными рисками кибербезопасности и что защита данных здесь больше невозможна — устройства уязвимы и становятся легкой добычей, например, для хакерских атак.
Учитывая возраст устройств и географические различия, результаты показывают, что устройства в Ирландии самые современные (239 дней), тогда как Португалия замыкает список с 786 днями. Если мы посмотрим на Юго-Восточную Азию, то станет ясно, что Сингапур показывает лучшие результаты (299 дней), а Малайзия — худшие (477 дней, 1,3 года). Самые старые устройства можно найти в Японии (716 дней, почти 2 года).
Улучшил ли GDPR актуальность установленной прошивки?
Что касается вопроса о том, изменилась ли ситуация к лучшему с момента вступления в силу Общего европейского регламента по защите данных (GDPR), который содержит четкие правила по этому вопросу, исследование показывает интересные результаты: хотя на глобальном уровне возраст устройств снизился, в Европе ситуация совершенно иная: фактически в 28 из 35 стран-членов ЕС срок эксплуатации устройств увеличился в среднем на 99 дней.
Доктор Фрэнк Эбберс, автор двух исследовательских статей по этой теме (одна опубликована на 8-й Международной конференции IEEE по программной инженерии и компьютерным системам (ICSECS) 2023 года , а другая — в IEEE Transactions on Software Engineering ), интерпретирует результаты. «Низкий уровень актуальности должен тревожить как производителей, так и пользователей, а также политиков и заострять внимание на этом вопросе. Также удивительно, что GDPR [не оказал] ожидаемого влияния на обновления программного обеспечения в ЕС.
«Это можно объяснить тем, что теперь, когда действует GDPR, пользователи считают, что только компании несут ответственность за обновления и что эти организации больше заботятся о конфиденциальности клиентов».
Эбберс считает, что ответственность здесь несут производители, регулирующие органы и сами пользователи. «Только совместными усилиями этих трех партнеров можно создать более безопасную ИТ-инфраструктуру».
Часто говорят, что ситуацию можно улучшить с помощью автоматических обновлений, так называемых обновлений «по воздуху». Он относится к этому критически. «Первый вопрос, который здесь возникает, заключается в том, кто несет ответственность за ущерб, причиненный ошибками в автоматических обновлениях. Достаточно вспомнить медицинский сектор, где ошибочное обновление портативных ЭКГ-устройств может стоить жизни».
Поэтому регулирующие органы должны давать производителям рекомендации, которые заставят (или подтолкнут) их включить в устройства хорошие механизмы обновления, которые затем будут легко понятны конечным пользователям. Кроме того, обновления должны стать обязательным условием для ввода в эксплуатацию в Европе в рамках маркировки CE.
Теги: IoT