Thời đại IoT đã đến.
Đây là một số bằng chứng: 83% các tổ chức nói rằng Internet of Things (IoT) rất quan trọng đối với hoạt động kinh doanh ngày nay và 92% nói rằng nó sẽ hoạt động trong hai năm.
Đó là theo một khảo sát gần đây của DigiCert được thực hiện bởi ReRez Research của 700 tổ chức ở năm quốc gia để hiểu rõ hơn về bảo mật IoT và IoT.
Thông thường, tôi luôn thấy rằng thị trường đã phát triển khi nó không còn là điều bất thường nữa. Ví dụ, một vài năm trước, thật khó để tìm thấy các triển khai IoT nằm ngoài các ngành công nghiệp máy móc truyền thống như sản xuất và dầu khí. Ngày nay, mọi thứ kết nối ở khắp mọi nơi.
IoT tạo ra rủi ro bảo mật mới
Sự phổ biến gần như của IoT làm tăng các rủ ro bảo mật, vì nó thể hiện một mối đe dọa đáng kể cho tin tặc đối với các công ty vi phạm. Mục tiêu của DigiCert khi thực hiện khảo sát là tìm hiểu tình trạng áp dụng IoT, hiểu ý nghĩa bảo mật và định lượng lợi ích của việc đầu tư vào bảo mật IoT. Cuộc khảo sát tập trung vào bốn ngành dọc trong đó IoT đã trưởng thành nhất – công nghiệp, sản phẩm tiêu dùng, chăm sóc sức khỏe và vận tải – và các công ty được lấy mẫu ở mọi quy mô, với quy mô trung bình là 3.000 nhân viên.
Cuộc khảo sát đã hỏi những gì các công ty mục tiêu đang cố gắng đạt được với IoT. Các phản hồi hàng đầu là hiệu quả hoạt động, trải nghiệm của khách hàng, tăng doanh thu và sự linh hoạt trong kinh doanh. Theo kinh nghiệm của tôi, các doanh nghiệp đi đầu trong chu kỳ áp dụng IoT đang tìm cách cắt giảm chi phí thông qua tự động hóa, điều này dẫn đến hiệu quả tốt hơn, nhưng họ nhanh chóng xoay quanh trải nghiệm của khách hàng như một cách tạo ra nguồn doanh thu mới.
Cuộc khảo sát cũng hỏi về mối quan tâm hàng đầu liên quan đến IoT và bảo mật là câu trả lời hàng đầu. Điều này không có gì đáng ngạc nhiên, vì các thiết bị IoT tạo ra các điểm vào mới.
DigiCert đã phân chia người dùng thành ba tầng dựa trên mức độ thành công bảo mật IoT của họ:
- Tầng trên cùng – Các doanh nghiệp gặp ít vấn đề nhất và ít có khả năng báo cáo có vấn đề bảo mật IoT
- Tầng trung lưu – Các tổ chức đang gặp một số vấn đề với bảo mật IoT
- Tầng dưới cùng – Các công ty đang gặp vấn đề về bảo mật IoT nhất
Mỗi nhóm chiếm khoảng một phần ba cuộc khảo sát, tạo ra sự phân phối tốt đẹp để phân tích sự khác biệt giữa chúng.
Các doanh nghiệp hàng đầu ít gặp sự cố bảo mật
Cuộc khảo sát đã đi sâu vào các sự kiện an ninh thực tế. Một điểm dữ liệu thú vị là chỉ dưới một phần ba của tầng trên cùng gặp phải sự cố bảo mật.
Về các doanh nghiệp cấp dưới, họ là:
- Nhiều hơn sáu lần việc trải qua các cuộc tấn công từ chối dịch vụ dựa trên IoT
- Nhiều hơn sáu lần việc đã trải nghiệm truy cập trái phép vào các thiết bị IoT
- Gần sáu lần việc đã trải qua các vi phạm dữ liệu dựa trên IoT
- Có khả năng bị tấn công phần mềm độc hại hoặc ransomware dựa trên IoT gấp năm lần
Hiện tại, số lượng các tác nhân đe dọa tập trung vào các thiết bị IoT là tương đối thấp. Tuy nhiên, tôi hy vọng rằng khi IoT phát triển, số lượng các cuộc tấn công cụ thể của IoT cũng sẽ tăng. Vì vậy, sẽ có một làn sóng sắp tới, và các công ty cấp dưới có thể sẽ thấy sự gia tăng các cuộc tấn công.
Sự cố bảo mật IoT chi phí cho các doanh nghiệp cấp dưới là đô la thực
Cuộc khảo sát đã giảm xuống một mức và xem xét chi phí thực tế của các sự cố an ninh trong hai năm qua. Nếu có sự chú ý về tầm quan trọng của bảo mật IoT, thì việc phát hiện ra rằng 25% doanh nghiệp cấp thấp đã báo cáo ít nhất 34 triệu đô la thua lỗ trong hai năm qua từ các tổn thất liên quan đến bảo mật IoT. Đối với tầng dưới cùng, thiệt hại tốn kém nhất đến từ khu vực sau:
- Thiệt hại về tiền tệ (59%)
- Mất năng suất (59%)
- Hình phạt pháp lý và tuân thủ (43%)
- Mất danh tiếng (40%)
- Một cú đánh vào giá cổ phiếu (31%)
Tôi không muốn độc giả nghĩ rằng các tổ chức hàng đầu không có vấn đề bảo mật vì họ đã làm, nhưng không có chi phí đáng kể liên quan đến các sự cố bảo mật.
Mã hóa và tính toàn vẹn là thông lệ tốt nhất phổ biến của các doanh nghiệp hàng đầu
Với sự hiểu biết rằng các doanh nghiệp hàng đầu có lợi thế rõ rệt so với các công ty cấp trung và cấp thấp, đáng để hiểu các hoạt động tốt nhất của họ. Các thực tiễn bảo mật phổ biến nhất được thực hiện bởi các công ty hàng đầu là:
- Mã hóa dữ liệu nhạy cảm
- Đảm bảo tính toàn vẹn của dữ liệu được truyền đến và từ một thiết bị
- Mở rộng các biện pháp bảo mật của bạn
- Đảm bảo cập nhật qua mạng
- Lưu trữ khóa dựa trên phần mềm an toàn
5 cách thực hành tốt nhất để bảo mật IoT
Trong năm năm tới, sẽ có hàng chục tỷ thiết bị IoT được triển khai và các nhà lãnh đạo CNTT cần chuẩn bị cho việc này. Để giải quyết vấn đề này, DigiCert đã cung cấp một số khuyến nghị về cách tiến lên phía trước với IoT trong khi giảm thiểu rủi ro bảo mật:
- Xem xét rủi ro: Thực hiện kiểm tra thâm nhập để đánh giá rủi ro của các thiết bị được kết nối. Đánh giá rủi ro và xây dựng một danh sách ưu tiên để giải quyết các mối quan tâm bảo mật chính, chẳng hạn như xác thực và mã hóa. Một đánh giá rủi ro mạnh mẽ giúp đảm bảo không có lỗ hổng trong bối cảnh an ninh được kết nối.
- Mã hóa mọi thứ : Khi các thiết bị được kết nối, tất cả dữ liệu sẽ được mã hóa khi nghỉ ngơi và trong quá trình vận chuyển. Biến mã hóa đầu cuối thành một yêu cầu sản phẩm để đảm bảo tính năng bảo mật quan trọng này được triển khai trên tất cả các điểm cuối IoT.
- Luôn xác thực : Xem lại tất cả các kết nối được tạo cho các thiết bị IoT, bao gồm cả thiết bị và người dùng, để đảm bảo các sơ đồ xác thực chỉ cho phép các kết nối đáng tin cậy đến các điểm cuối. Chứng chỉ kỹ thuật số giúp cung cấp xác thực liền mạch với các danh tính liên kết được gắn với các giao thức mã hóa.
- Tính toàn vẹn ngay lập tức : Tài khoản cơ bản về tính toàn vẹn của thiết bị và dữ liệu để bao gồm khởi động an toàn mỗi khi thiết bị khởi động, bảo mật cập nhật qua mạng và sử dụng ký mã để đảm bảo tính toàn vẹn của bất kỳ mã nào đang chạy trên thiết bị.
- Chiến lược cho quy mô: Phát triển khung bảo mật và kiến trúc có thể mở rộng để sẵn sàng hỗ trợ tất cả các triển khai IoT. Lập kế hoạch phù hợp và làm việc với các bên thứ ba có quy mô và chuyên môn để giúp bạn đạt được các mục tiêu kinh doanh.
(Theo networkworld)