Иван Дудин е регионален директор на компанията за киберсиругност Acronis. С него разговаряме за нарастващата популярност и приложение на умните устройства и рисковете за сигурността, които това поражда. Как можете да подобрите сигурността на IoT устройствата, които използвате - вижте в интервюто!

Г-н Дудин, в последните години IoT устройствата навлизат все по-широко в ежедневието ни. Какъв риск носи това на бизнеса и домакинствата от гледна точка на сигурността?

Бизнесът е застрашен заради домашните мрежи, тъй като хората използват едни и същи устройства и за работа, и вкъщи. Дори домашната мрежа да е достатъчно надеждна и защитена, през IoT устройствата са едни от най-лесните начини да се влезе в мрежите. Колкото и странно да звучи, пробиването на една мрежа през домашния смарт телевизор е много по-лесно, отколкото през един добре защитен лаптоп.

През незащитено умно устройство може да се влезе в мрежата, която се компрометира, а оттам може да се компрометират и други свързани устройства, които са надеждни. Като пренесем тези устройства в офиса, компрометираме и бизнес мрежата.

Защо IoT устройствата са толкова несигурни? Какви са пропуските?

Тези устройства станаха много популярни и търсенето им е много голямо, което води до това производителите да търсят евтини решения както за хардуера, така и за софтуера. Борбата е устройствата да са възможно най-евтини. Представете си да имате термоглава на радиатор, която да свържете с умната система за дома - никой няма да си позволи да сложи по-скъп хардуер и софтуер на тази термоглава.

Това е главният проблем - цената принуждава производителите да намаляват разходи за производството.

А с колко би се оскъпило едно такова устройство, ако се заложи на качеството?

Цената може и да се удвои. Пазарът обаче това не го позволява, затова трябва ние с нашата киберхигиена и кибернавици да се опитваме да поддържаме по-сигурна среда. Това означава, да поддържаме домашните си мрежи с по-сериозни пароли. Много от тези устройства идват с пароли по подразбиране и повечето хора не ги сменят, което не е редно. Паролите моментално трябва да се сменят, както и периодично след това.

Бих допълнил, че колкото и да е неудобно, необходимо е все пак да намалим използването на тези устройства извън периметъра на нашите домашни мрежи. Удобно е да се включим през телефона към домашната система за отопление, когато сме някъде другаде, за да я настроим и проверим, но когато не е наложително, тези влизания трябва да се минимизират.

Говори се напоследък за въвеждането на стандарти за управление на риска при IoT устройствата и заради развитието на 5G. Кога очаквате, че може да се пристъпи към въвеждане на някакви стандарти?

Дори да имаме някакви политики, закони, нормативни актове за кибербезопасност, макар че и те не са на необходимото ниво, за IoT няма никакви. Единствено през миналата година в Англия беше гласуван закон, с който се забранява на производителите на такива умни устройства да слагат пароли по подразбиране. Това принуждава хората да слагат своя парола, когато купуват такива устройства.

Това може да е нещо дребно, но е стъпка в правилната посока. Нещата започват да се раздвижват. Европейската комисия (ЕК) отвори специална секция за обсъждане на точно този аспект от кибербезопасността. Надяваме се да се приемат по-бързо някакви стандарти, защото това е единственият начин да продължим, иначе ще престанем да използваме такива устройства.

Още по-лошият вариант са plug-and-play устройствата, които и парола по подразбиране нямат. Те само се включват и вече работят. Точно това се опитва да забрани парламентът в Англия.

IoT устройствата вече са много достъпни и всеки може да си ги позволи. Ще ви дам пример - трябваше наскоро да си сменя домашния газов котел за отопление на апартамента и веднага, заедно с него, ми подариха три термоглави за радиаторите, които са умни. Хората и да не искат да имат такива устройства, те вече се подаряват.

Ако изобщо са събирани такива данни, кои са най-често атакуваните устройства и кои са устройствата, при които има най-много пробиви?

Най-пробиваните устройства са тези, които са свързани със здравето. Едно MRT устройство например е винаги свързано с мрежата, за да подава данни, както и автоматичните инсулинови помпи и др. подобни. Там са най-големите пробиви, защото здравните данни са много интересни. Представете си как някои застрахователни компании биха искали да имат такива данни. Към тези устройства трябва да има повишено внимание.

Каква отговорност носят производителите на IoT устройства за тяхната сигурност?

В момента не носят никаква отговорност. Няма закон, който да ги задължи да използват дори минимална безопасност. Има общи указания, но те не пораждат законово задължение. Важно е да се направят законови промени, така че да се носи отговорност от производителите. В Англия например с този закон за паролите са въведени и доста сериозни глоби за производителите.

Какво трябва да притежава едно такова умно устройство, за да можем да кажем, че е сигурно?

Аз например бих забранил plug-and-play устройствата. Според мен едно 5-минутно улеснение и по-бързо включване може да ни коства много. По-добре да изгубим още няколко минути, а да поиска парола. Трябва да се премахнат и паролите по подразбиране. Това са минималните изисквания към тези устройства, които трябва да бъдат въведени.

Друг важен момент е, че тези устройства отдавна не се ъпдейтват. Ъпдейтите са важни за всеки софтуер, поне за лаптопите хората се понаучиха да инсталират тези, които производителите дават, но сме далеч от това да си ъпдейтваме редовно умния телевизор например. Ако обаче производителят въведе задължителен ъпдейт, който ако не се случи, това устройство повече да не може да се ползва, това би помогнало.

Какви други стъпки може да се предприемат?

Не би трябвало да чакаме въвеждането на закон и нищо да не правим сами междувременно. Ние трябва да поддържаме киберхигиена, а в същото време трябва нещата да се движат и на ниво държава. Първо трябва да се промени мисленето, че тези устройства с нищо не се отличават от лаптопа. Към личния ни компютър ние се отнасяме с внимание, към умните устройства трябва да се отнасяме по същия начин и да разберем, че те са също толкова уязвими.