यह खतरनाक IoT: बिजनेस थ्रेट और सॉल्यूशंस

नेटवर्क प्रौद्योगिकियों ने दुनिया को बहुत छोटा बना दिया है, इस अर्थ में कि उन्होंने उन लोगों को अनुमति दी जो वास्तविक समय में संवाद करने के लिए हजारों किलोमीटर दूर हैं। लेकिन साइबर तकनीक और उपकरण भी खतरनाक हो सकते हैं जब साइबर जासूसी की बात हो। इससे पहले, Zyxel के ब्लॉग ने पहले ही लेख प्रकाशित किया था जिसमें कहा गया था कि हैकिंग नेटवर्क उपकरण के परिणामस्वरूप दसियों और सैकड़ों अमेरिकी डॉलर का नुकसान हो सकता है। विशेष रूप से खतरे वाले बॉटनेट हैं जो खराब संरक्षित नेटवर्क उपकरणों को संक्रमित करते हैं।

एक अन्य मुद्दा व्यापार और उद्योग में IoT है। विशेषज्ञों के अनुसार, नेटवर्क से जुड़े सभी प्रकार के उपकरणों की संख्या 2020 तक बढ़कर 25-50 बिलियन हो जाएगी और 2025 में 75 बिलियन तक पहुंच जाएगी । व्यवसाय सक्रिय रूप से IoT का उपयोग कर रहा है, 2022 तक इस क्षेत्र की लागत $ 1 ट्रिलियन तक पहुंच गई । लेकिन कार्यक्षमता की खोज में, निर्माता और उपभोक्ता साइबर सुरक्षा के बारे में भूल जाते हैं।

कितना वास्तविक है खतरा?

अगर किसी ने IoT डेंजर इंडिकेटर बनाया होता, तो यह डिवाइस लंबे समय तक जलपरी और पलक झपकते लाल हो जाता। कुछ साल पहले, Kaspersky Lab ने IoT ट्रैप (Honeypot) की स्थापना की , जो लिनक्स चलाने वाले विभिन्न गैजेट्स की नकल करता है । हनीपोट को सक्रिय करने के कुछ ही सेकंड बाद, उन्होंने एक खुले टेलनेट पोर्ट से जुड़ने के पहले प्रयासों को पंजीकृत करना शुरू कर दिया। दिन के दौरान, "ट्रैप" के लिए अद्वितीय कॉल की संख्या कई दसियों हजार तक पहुंच गई।

खुले कनेक्शन की तलाश कर रहे उपकरणों का विश्लेषण करने के बाद, यह पता चला कि उनके बीच बहुत सारे औद्योगिक सिस्टम थे, जो वास्तव में अच्छी तरह से संरक्षित और "सात मुहरों के पीछे" होना चाहिए। यह सबसे पहले, हैकिंग मॉनिटरिंग सिस्टम या उद्योग और सुरक्षा के क्षेत्र में डिवाइस प्रबंधन के बारे में है। यहां, पूरे स्पेक्ट्रम - दुकानों, रेस्तरां और गैस स्टेशनों के कैश रजिस्टर से लेकर डिजिटल टेलीविजन प्रसारण प्रणाली, पर्यावरण निगरानी, ​​सुरक्षा और अभिगम नियंत्रण, बिजली प्रबंधन के साथ-साथ उद्योग में उपयोग किए जाने वाले प्रोग्राम नियंत्रकों तक। यहां तक ​​कि बैंकॉक में एक भूकंपीय स्टेशन के लिए एक निगरानी प्रणाली भी थी।

एक अन्य कंपनी, पॉजिटिव टेक्नोलॉजीज के विशेषज्ञों ने पाया कि स्मार्ट पावर ग्रिड हैकिंग के लिए बेहद असुरक्षित हैं।



आपको यह समझना चाहिए कि ये सतही अध्ययन हैं जो हिमखंड की नोक को खोलते हैं। अगर उन्होंने गहराई से खोदा होता, तो अन्य आश्चर्य की खोज होती।

समस्या का कारण क्या है?

घरेलू उपकरणों के लिए, हैबर ने पहले ही इस बारे में लिखा था। कॉर्पोरेट दुनिया में, चीजें थोड़ी अधिक जटिल हैं। कारण इस प्रकार हैं:

• आईओटी समाधानों का तेजी से प्रवेश और उत्पादन के बुनियादी ढाँचे को स्केल करना। कंपनियां तकनीकी नवाचारों को देखती हैं और व्यावसायिक प्रक्रियाओं और उत्पादन के अनुकूलन की खोज में तेजी से उनका उपयोग करने का प्रयास करती हैं। तदनुसार, विभिन्न समाधान साइबर सुरक्षा के दृष्टिकोण से उचित नियंत्रण के बिना लागू किए जाते हैं;
• अविश्वसनीय उपयोगकर्ता प्रमाणीकरण प्रणाली। इस तथ्य के बावजूद कि व्यापार, विशेष रूप से बड़े वाले, विश्वसनीय प्रमाणीकरण प्रणालियों का उपयोग करते हैं, IoT डिवाइस आमतौर पर प्रभावित नहीं होते हैं। उन्होंने सेंसर लगाए, उन्हें लॉन्च किया - और ठीक है। और तथ्य यह है कि इस तरह के सिस्टम में, अक्सर डिफ़ॉल्ट पासवर्ड / लॉगिन लिंक बने रहते हैं, किसी तरह भूल जाते हैं।
• IoT समाधानों की विषमता। दुनिया में कई हजार कंपनियां हैं जो व्यापार के लिए IoT समाधान का निर्माण और आपूर्ति करती हैं। नतीजतन, विभिन्न निर्माताओं के सिस्टम एक ही उद्यम पर स्थापित किए जा सकते हैं, जिन्हें सूचना सुरक्षा के लिए अलग से परीक्षण किया जा सकता है, लेकिन तैयार बुनियादी ढांचे या यहां तक ​​कि इसके हिस्सों का कोई व्यापक सत्यापन नहीं था।
• बाजार पर उत्पाद के लॉन्च को गति देने के लिए, कई कंपनियां खरोंच से एक उपकरण नहीं बनाती हैं, लेकिन एक चिप, कैमरा, वायरलेस संचार मॉड्यूल आदि सहित ऑफ-द-शेल्फ घटकों का उपयोग करती हैं। इनमें से किसी भी तत्व को हैक किया जा सकता है। एक आदर्श स्थिति में, IoT सिस्टम को कार्यान्वयन शुरू करने से पहले कई हफ्तों तक जांचने की आवश्यकता होती है।

तो क्या करें?

कई प्रस्ताव हैं, लेकिन उनमें से अधिकांश को इस रूप में कम किया जा सकता है:

• IoT सिस्टम का प्रमाणन, उद्योग और राज्य सुरक्षा मानकों का परिचय (संभवतः अंतर्राष्ट्रीय)। ऐसे मानकों के विकास के लिए एक शुरुआती बिंदु के रूप में, आप एसीएस टीपी (औद्योगिक नियंत्रण प्रणाली) ले सकते हैं;
• उत्पादन में प्रणाली को लागू करते समय, कंपनी के सूचना सुरक्षा विभाग के विशेषज्ञों द्वारा या आउटसोर्स विशेष कंपनियों की मदद से एक पूर्ण सुरक्षा ऑडिट करें;
• डिबगिंग तंत्र अक्षम करें, भौतिक उपकरण सुरक्षा लागू करें;
• विभिन्न समाधानों के चिड़ियाघर से सिस्टम बनाने की प्रथा की अस्वीकृति। अब प्रमाणीकरण की कमी के कारण ऐसा करना मुश्किल है, लेकिन समय के साथ स्थिति में सुधार होता है;
• विश्वसनीय उपयोगकर्ता प्रमाणीकरण प्रणालियों का कार्यान्वयन;
• निर्माताओं की ओर से, जानबूझकर कमजोर प्रौद्योगिकियों, प्रोटोकॉल और सॉफ्टवेयर प्लेटफार्मों की अस्वीकृति ;
• एंटी-वायरस, फ़ायरवॉल, घुसपैठ का पता लगाने वाले उपकरण के साथ एकीकृत सुरक्षा सॉफ़्टवेयर का उपयोग, उदाहरण के लिए, कैसपर्सकी इंटरनेट सुरक्षा;
• शून्य-दिन के खतरों के खिलाफ प्रभावी सुरक्षा के लिए उपरोक्त सभी मशीन सीखने की प्रौद्योगिकियों के साथ आधुनिक हार्डवेयर सुरक्षा गेटवे का उपयोग, उदाहरण के लिए, नवीनतम Zyxel एटीपी गेटवे ।

सामान्य तौर पर, व्यापार के लिए IoT समाधानों के मुख्य उपभोक्ताओं - अर्थात, कंपनियों और विभिन्न स्तरों के निगमों - जब तक इसे बदलना चाहते हैं, तब तक स्थिति बदलने की संभावना नहीं है। जैसे ही बढ़ी हुई मांगों को IoT उपकरणों पर रखा जाएगा, बाजार की स्थिति बदल जाएगी।

शायद आपके पास कंपनी में / कार्यस्थल में IoT के साथ समस्याग्रस्त स्थितियों के उदाहरण हैं? हमें टिप्पणियों में इसके बारे में बताएं। और यदि संभव हो, तो दिखाएं कि समस्या कैसे हल हुई।