Virksomheter krypterer ikke IoT
En rapport fra Zscaler viser at 91,5 prosent av IoT-kommunikasjon i virksomheter foregår i klartekst og dermed kan være i fare for tukling.
I en fersk undersøkelse av en million IoT-transaksjoner (Internet of Things – tingenes internett) viser det seg at de aller fleste foregår uten noen form for kryptering. Det åpner igjen for at data kan utsettes for tyveri og manipulering.
Undersøkelsen ble utført av den skybaserte sikkerhetsleverandøren Zscaler. Mens 91,5 prosent var ukryptert, var 8,5 prosent kryptert med SSL. Forskere har går igjennom en måneds trafikk av virksomhetsdata gjennom Zscalers skyløsninger og sett etter trafikk til eller fra IoT-enheter.
De fant og analyserte 56 millioner IoT-transaksjoner, og identifiserte typen IoT-enheter, protokollene som ble brukt, serverne de kommuniserte med, hvor ofte kommunikasjon gikk inn og ut og generelle IoT trafikkmønstre.
Teamet forsøkte å finne ut hvilke enheter som genererte mest trafikk og truslene de sto overfor. De fant at 1015 organisasjoner hadde minst én IoT-enhet.
Forskjellige typer enheter
De vanligste enhetene var tv-dekodere med 52 prosent, smart-tv med 17 prosent, smartklokker og lignende med åtte prosent, terminaler for datainnsamling med åtte prosent, skrivere syv prosent, ip-kameraer og mobiler fem prosent og medisinsk utstyr en prosent.
Mens terminaler for datainnsamling utgjorde åtte prosent, sto de for 80 prosent av trafikken. 18 prosent av enhetene brukte SSL hele tiden og av de resterende 82 prosent brukte halvparten SSL av og til, mens resten ikke benyttet det i det hele tatt.
Undersøkelsen viste også at klartekst HTTP i enkelte tilfeller ble brukt i autentisering av enheter og for å oppdatere programvare og firmware.
Mens IoT-enheter er vanlig i virksomhetene er mange av enhetene eiet av ansatte og dette er en av grunnene til at de er sikkerhetsmessig bekymringsverdige, heter det i rapporten. En annen grunn til at ansattes IoT-enheter vekker bekymring re at mange virksomheter ikke ser på dem som en sikkerhetsrisiko siden det ikke ligger data lagret på dem. Men hvis data de henter inn overføres på en usikker måte utgjør de jo det.
Fem tips til å sikre IoT i virksomhetene
Zscaler anbefaler disse sikkerhetstiltakene:
- Endre standard identifikasjon til noe mer sikkert. Når ansatte tar med IoT-enheter bør de oppfordres til å bruke sterke passord og holde firmware oppdatert.
- Isoler IoT-enheter i nettverket og reguler inn- og utgående trafikk.
- Begrens tilgang til IoT-enheter fra eksterne nettverk og blokker unødvendige porter for ekstern tilgang.
- Foreta jevnlige oppdateringer av sikkerhet og firmware til IoT-enheter, og sikre nettverkstrafikken.
- Ta i bruk verktøy for å synliggjøre IoT-enheter som allerede er i nettverket, slik at de kan beskyttes.