Minderung der Cyberrisiken des IoT und Suche nach Lösungen

Das letzte Jahrzehnt hat eine beispiellose Entwicklung der Landschaft des Internets der Dinge (IoT) erlebt, die durch neue verteilte Netzwerktechnologien ermöglicht wird. McKinsey Schätzungen zufolge wird die Welt bis 2025 50 Milliarden vernetzte Geräte besitzen, 400 % mehr als 2010, und 11 Billionen US-Dollar (10 Billionen Euro) zur Wirtschaft beitragen.

Während diese Verbreitung von IoT-Geräten in den letzten Jahren aufregende Möglichkeiten für Unternehmen, Regierungen und einzelne Verbraucher geschaffen hat, hat sie neue Risiken geschaffen, die gemindert werden müssen. Angesichts der rasanten Entwicklung und Implementierung von IoT-Technologien sind Bedrohungen und Angriffe ein klares Anliegen sowohl für Einzelpersonen als auch für Unternehmen weltweit.

Andrea Gaglione, IoT-Experte und Technologieleiter bei Brit Insurance , untersucht die potenziellen Risiken des IoT und seines Kollegen, Cyber-Underwriter Ben Maidment identifiziert die Schritte, die Benutzer, Entwickler und Versicherer unternehmen können, um sich davor zu schützen.

Was sind die Risiken?

Entscheidend ist, dass sich das Verständnis der Risiken und potenziellen Cyber-Schwachstellen im Zusammenhang mit IoT noch weiterentwickelt – und um Mitigationsmaßnahmen und -lösungen umzusetzen, müssen diese potenziellen Risiken identifiziert werden. Leider wird in vielen Fällen immer deutlicher, dass diese Schwachstellen erst nach einer Sicherheitsverletzung oder einem Cyberangriff erkannt werden.

• Datenverlust

Sicherheits- und Cyberbedrohungen wachsen exponentiell mit der Größe der potenziellen „Angriffsfläche“ und Netzwerkeintrittspunkten, wofür IoT-Systeme daher besonders anfällig sind. Jüngste Daten zeigen, dass 2019 26,66 Milliarden IoT-Geräte aktiv waren und jede Sekunde 127 neue Geräte mit dem Internet verbunden werden.

Da dies immer größer wird, besteht die größte Herausforderung darin, alle Daten zu verwalten und zu schützen, die von IoT-Geräten erfasst, verwendet und übertragen werden, insbesondere angesichts der jüngsten schwerwiegenden Datenschutzverletzungen und der mit der DSGVO (Allgemeinen Datenschutzbestimmungen) verbundenen Geldbußen. . Ein Hauptanliegen ist, wie bei den meisten Cyberrisiken, der Verlust oder die Gefährdung von Daten, insbesondere von Kunden- und personenbezogenen Daten. Beispiele für IoT-Geräte, die große Mengen personenbezogener Daten sammeln, die besonders gefährdet sein können, sind intelligente Wearables, die Gesundheitsdaten überwachen, sammeln und übertragen.

• Geschäftsunterbrechung und -unterbrechung

Da Lieferketten und Geschäftsprozesse immer mehr von vernetzten Geräten abhängig sind, um eine höhere Effizienz zu erzielen, sind Unternehmen einem höheren Angriffsrisiko ausgesetzt. Erhebliche Betriebsunterbrechungen durch Geräte, die von einem Hacker offline genommen werden, können kurzfristig zu erheblichen Umsatzeinbußen sowie langfristig zu einem erheblichen Verlust an Reputation und Vertrauen führen.

Neben der Ausnutzung der Schwachstelle von IoT-Geräten, um in ein Netzwerk einzudringen, können Angreifer auch eine Reihe ungesicherter IoT-Geräte nutzen, um Daten umzuleiten und Distributed Denial of Service (DDoS)-Angriffe zu starten. Im Jahr 2016 haben bösartige Akteure mehr als 25.000 digitale Videorekorder und CCTV-Kameras kompromittiert und ihre Daten umgeleitet, um einen DDoS-Angriff zu starten, der die Server von Dyn zum Einsturz brachte , einem großen US-DNS-Anbieter, der Internetausfälle in den USA und Europa auslöste und hochkarätige Websites wie Twitter, Netflix, GitHub zum Absturz brachte , undReddit .

• Cyber-Physik

Schließlich ist ein aufkommendes Risiko von IoT (und Cyber ​​im weiteren Sinne) das Cyber-Physische, wobei ein Cyber-Angriff zu physischem Schaden führen kann. Das kann von vernetzten Medizingeräten wie Herzschrittmachern über selbstfahrende Autos bis hin zu teuren Industrieprozessen reichen. Ein böswilliger Hack dieser Geräte, der die Kontrolle über diese Aktivitäten übernimmt, kann zu kostspieligen und potenziell physischen Schäden oder Lebensgefahr führen. Letztes Jahr zum Beispiel die US Food and Drug Administration gab eine Warnung aus, dass einige Insulinpumpen anfällig für Hacker sind, die aus der Ferne auf die Pumpeneinstellungen zugreifen und diese möglicherweise ändern könnten.

Wie können wir das Risiko mindern?

• Sicherheit und Datenschutz durch Design

Bisher wurde für IoT-Hersteller ein Kompromiss zwischen der Geschwindigkeit der Markteinführung eines Produkts und der Robustheit und Sicherheit des Systems wahrgenommen. Wie wir bei der ersten IoT-Welle gesehen haben, wurde Sicherheit nicht als vorrangiges Erfordernis angesehen. Wir haben jedoch einen wachsenden Fokus auf Datenschutz nach hochkarätigen Datenschutzverletzungen und neuen Datenvorschriften gesehen.

Unserer Ansicht nach sollte Sicherheit beim Design neuer IoT-Geräte an erster Stelle stehen, und es müssen kontinuierliche Maßnahmen ergriffen werden, um die Sicherheit sowohl neuer als auch bestehender Geräte zu erhalten und zu verbessern.

• Best Practice Cybersicherheit

Die Benutzer selbst, ob Einzelpersonen, Unternehmen oder der öffentliche Sektor, sind dafür verantwortlich, bewährte Verfahren in Bezug auf Cyber-Gefahren anzuwenden, und Sensibilisierung und Aufklärung sind von entscheidender Bedeutung. Unternehmen müssen den Wunsch nach Konnektivität und Effizienz, die IoT-Technologien bieten, mit den Risiken abwägen, die eine solche Konnektivität mit sich bringt, insbesondere angesichts der mangelnden Betonung der Sicherheit bei der Entwicklung solcher Produkte.

Genauso wie sie ein traditionelles Betriebssystem verwalten würden, sollten Einzelpersonen eine aktive Rolle bei der Gestaltung der Unternehmenspolitik zum IoT spielen und verantwortungsbewusst und auf dem neuesten Stand der Bedrohungen für ihr Unternehmen sein. Viele dieser Maßnahmen sind in der traditionellen IT zur zweiten Natur geworden, werden aber langsam übernommen und bei der Betrachtung von IoT-Geräten berücksichtigt.

Einfache Schritte, die Benutzer ergreifen können, um das Risiko zu reduzieren (und die Haftung im Falle eines Cyber-Vorfalls zu begrenzen), umfassen:Verwendung starker Passwörter und Sicherheitsschlüssel, die regelmäßig aktualisiert werden; Überwachungsgeräte und -systeme, um Sicherheitsereignisse zu erkennen und darauf zu reagieren, und; ständige Aktualisierung der Gerätesicherheit durch Herunterladen von Software-Patches von den Herstellern.

Welche Lösungen bieten Versicherungen?

Versicherer spielen eine entscheidende Rolle bei der Minderung dieser Risiken, indem sie Unternehmen darin schulen, die Risiken zu minimieren und finanzielle und andere Unterstützung bereitzustellen, falls IoT-Geräte kompromittiert werden und zu Betriebsunterbrechungen, Sachschäden oder Datendiebstahl führen.

Cyber-Versicherungen können die finanziellen und Reputationskosten von Erst- und Drittparteien decken, wenn Daten oder Systeme gestohlen, beschädigt oder kompromittiert wurden. Die Erstversicherung umfasst die Kosten für die Untersuchung und Wiederherstellung einer Cyberkriminalität, von Einkommensverlusten durch eine Betriebsunterbrechung, Reputation und Management bis hin zu Erpressungszahlungen an Hacker. Die Deckung durch Dritte umfasst Schadensersatz und Vergleiche sowie die Kosten für die rechtliche Verteidigung gegen Bußgelder, die aus einem Verstoß resultieren.

Die besten Formen der Cyberversicherung sind nicht nur ein Produkt, sondern eine Dienstleistung, die Unternehmen auf dem Weg zur Compliance weiterbringt und ihr Risiko minimiert. Immer mehr Versicherer – darunter Brit – bieten im Rahmen ihrer Policen eine Reihe von Pre-Cyber-Incident-Services an:Kunden haben Zugang zu Online-Portalen mit Verfahren und Plänen, die zur Risikominderung implementiert werden können, Planungsmaterial für die Reaktion auf Vorfälle und Check Listen für die Bereitschaft.

Die Autoren sind Andrea Gaglione, Technologieführer und Ben Maidment, Cyber ​​Class Underwriter bei Brit Insurance.