Warum wir den Schutz des IoT in kritischen nationalen Infrastrukturen nicht aufschieben können

Es ist entscheidend, die Sicherheit des Stromnetzes luftdicht zu halten.

Bei der Diskussion über die Sicherheit des Internets der Dinge (IoT) ist es wichtig, zunächst zu erkennen, inwieweit unser tägliches Leben von diesen vollständig vernetzten Systemen abhängig ist. Die Integration von IoT-Geräten in geschäftskritische Branchen bedeutet, dass wir bei gleichzeitiger Effizienzsteigerung einen Nährboden für neue Angriffspunkte schaffen. Diese Netzwerke sind von entscheidender Bedeutung, sagt Alan Grau, VP of IoT, Embedded Solutions bei Sectigo ; Der Schutz des Tores wird zur Priorität.

Während selbst der Laie erkennen wird, wie wichtig es ist, das Stromnetz oder die Wasserversorgung luftdicht zu halten, fehlt im Gespräch häufig ein Element, die zentrale Rolle der Sicherung von IoT-Geräten einschließlich der Authentifizierung mit digitalen Zertifikaten.

Es ist jetzt zwingend erforderlich, alle verbundenen Dinge zu authentifizieren, und Zertifikate stehen bei der Überwindung der Schwachstellen in unserer kritischen nationalen Infrastruktur (CNI) an vorderster Front. Und die Zeit drängt. Das Ponemon-Institut hat ergeben, dass 90 % der CNI-Anbieter bereits gegen IoT-Angriffe kämpfen. Wahrscheinlich haben die anderen 10 % noch nicht erkannt, dass sie ebenfalls angegriffen werden.

Da immer mehr Distributed Denial of Service (DDoS)- und Ransomware-Angriffe auf ungesicherte Geräte abzielen, müssen Unternehmen aufwachen und die inhärenten Risiken ungesicherter Endpunkte in allen Ökosystemen von Servern über Fahrzeuge bis hin zu Stromnetzen angehen.

Eine wachsende Zahl von Regierungen hat in letzter Zeit regulatorische Anforderungen für die Sicherheit von Verbrauchergeräten erlassen, aber die Maßnahmen sind alles andere als global; sie sind auch nicht umfassend. Es liegt an jedem im Ökosystem, von Erstausrüstern (OEMs) bis hin zu Endbenutzerorganisationen, eine Authentifizierungstechnologie einzubauen und zu übernehmen, die unser CNI schützt.

Die Sicherheit der Gesundheitsbranche gewährleisten

Das Gesundheitswesen steht vor der enormen Herausforderung, mit einer Vielzahl sensibler Daten umzugehen. Sei es die Verwaltung von geistigem Eigentum, vertraulichen persönlichen Gesundheitsdaten (PHI) oder der Konfiguration eines angeschlossenen Geräts; Daten sind zu Recht das wertvollste Gut des Gesundheitssektors und folglich eines der am schwierigsten zu schützenden.

Jedes System oder Gerät, das hochwertige Patienten-, Forschungs- oder Unternehmensdaten speichert oder überträgt, ist gefährdet. Die Bedrohungen, die sowohl von internen als auch von externen Quellen stammen können, umfassen jetzt die ganze Skala von Malware, Ransomware, IoT-Botnets und Diebstahl bis hin zu Phishing-Versuchen, geschäftlicher E-Mail-Kompromittierung (BEC), Erpressung und groß angelegten Datenschutzverletzungen.

Leider bleiben viele Gesundheitsorganisationen unzureichend geschützt. Die meisten verfügen nicht über das hohe Maß an Datenverschlüsselung, das erforderlich ist, um sowohl Daten in Bewegung als auch Daten im Ruhezustand zu schützen. Viele nutzen immer noch nicht die Vorteile, die die digitale Identität in einer Vielzahl von Anwendungsfällen mit sich bringen kann.

Noch besorgniserregender ist vielleicht das oft übersehene Risiko, das von ungesicherten „Dingen“ in der Branche ausgeht. Die meisten Gesundheitsorganisationen mit neuen Geschäftsmodellen, die auf das IoT angewiesen sind, erkennen oft nicht, dass ihre vernetzten Geräte (Biosensoren für die Patientenüberwachung, Wearables für die Telemedizin, Herzschrittmacher, Pumpen und dergleichen) ein erhebliches Sicherheitsrisiko darstellen.

Die zunehmende Digitalisierung der Patientenerfahrung in Verbindung mit einer zunehmenden Abhängigkeit von Daten (einschließlich Kreditkartenzahlungsdaten) macht es für Unternehmen in diesem Sektor unerlässlich, ihre Sicherheitsfunktionen kontinuierlich zu verbessern und potenzielle Schwachstellen zu schließen, um Bedrohungen immer einen Schritt voraus zu sein.

Absicherung jedes Fahrzeugs

Die Ankunft autonomer Fahrzeuge wird die potenzielle Bedrohung von Eigentum und Leben durch einen IoT-Angriff erhöhen. In nicht allzu ferner Zukunft werden Lieferwagen, Busse, Taxis und Privatfahrzeuge autonom sein und Cyber-Angreifern reiche Angriffsziele bieten. Autonome Fahrzeughersteller geben an, dass die IoT-Technologie, die es diesen Fahrzeugen ermöglicht, direkt miteinander und mit dem Verkehrssystem einer Stadt zu kommunizieren, zu einem effizienteren und sichereren Reisesystem führen wird.

Diese Kommunikation erfordert jedoch einen perfekten, unverfälschten Informationsfluss zwischen den Fahrzeugen, um ihre enge Koordination bei möglicherweise hohen Geschwindigkeiten in nur wenigen Zentimetern Abstand zu gewährleisten.

Laut dem Consumer Watchdog von 2019 Bericht 'Kill Switch' werden bis 2022 mehr als zwei Drittel der Neuwagen auf amerikanischen Straßen über Online-Verbindungen zu ihrem sicherheitskritischen System verfügen, wodurch sie der Gefahr ausgesetzt sind, tödliche Hacks in das "Kopf"-System von Fahrzeugen zu erleiden, das hauptsächlich für Infotainment verwendet wird. GPS-Navigation und andere Funktionen.

Was passiert, wenn eines dieser Fahrzeuge gehackt wird und seine Kommunikation lahmlegt, sodass es sich nicht mehr mit anderen Fahrzeugen koordinieren kann? Zumindest kann der Hacker dazu führen, dass sich der Datenverkehr verheddert. Schlimmstenfalls könnte der schlechte Schauspieler schwere Unfälle verursachen, die möglicherweise zu Verletzungen und zum Verlust des Lebens der Passagiere und/oder in der Nähe befindlichen Fußgänger führen können. Eine weitere echte Bedrohung ist ein massiver Ransomware-Angriff auf Fahrzeuge. Sicherheit ist für vernetzte Autos eindeutig unerlässlich.

Schutz des Stromnetzes

Die Vorteile von IoT im Energiesektor liegen auf der Hand. Die riesige Sammlung von Sensoren und Steuergeräten stellt die Zuverlässigkeit der Versorgung sicher und kann Ausfälle verhindern, indem sie den Stromfluss zu jedem Zeitpunkt kontrollieren. Die Modernisierung des Systems bedeutet auch eine höhere Energieeffizienz und weniger menschliche Eingriffe, ein Kostenvorteil für Unternehmen. Darüber hinaus kann das Smart Grid durch den Abruf umfangreicher Daten vorausschauende Wartungsmodelle erstellen und die Gesamtsicherheit erhöhen.

Diese Automatisierung und kollektive Intelligenz hat natürlich auch eine Kehrseite. Unzählige Cyberangriffe und White-Hat-Vorfälle im letzten Jahrzehnt unterstreichen sowohl die Verwundbarkeit der Energiewirtschaft als auch ihren hohen Zielwert. Cyberkriminelle wissen das und suchen weiterhin aktiv nach Wegen, um schädlichen Code in fremde Netze einzuschleusen, um ihn dann auszunutzen, wenn es an der Zeit ist, zuzuschlagen. Ein solches Beispiel ist Russlands Testangriff auf das ukrainische Stromnetz, der die Fähigkeit des Landes bestätigt, die Lichter nach Belieben auszuschalten.

Angesichts der potenziell katastrophalen Folgen ist es für die Energiewirtschaft heute wichtiger denn je, der Sicherung dieser immer weiter verbreiteten Technologie höchste Priorität einzuräumen.

Entwerfen einer Lösung in der Fertigung

Die Lösung liegt nicht nur in der Hand des Gesetzgebers, sondern auch der Gerätehersteller und anderer an der Lieferkette Beteiligten. Das Identitätsmanagement muss vom Design her integriert, automatisiert sein, um Fehler oder Sabotage zu vermeiden, und während des gesamten Lebenszyklus jedes Geräts regelmäßig aktualisiert werden.

Identitätsauthentifizierungstools sind ein wesentlicher Schutz für den Schutz kritischer Infrastrukturen und ihrer vielen Geräte. Digitale Zertifikate, sicheres Booten und sichere Code-Updates, eingebettete Firewalls und andere Technologien ermöglichen es Gesundheitswesen, Transport, Energie und anderen kritischen Unternehmen, nicht autorisierte Verbindungen zu erkennen und zu blockieren, bevor sie das Netzwerk betreten, und halten so das Tor für Cyberkriminelle von Anfang an geschlossen .

Unternehmens- und eingebettete IoT-Sicherheit sind nicht mehr allein Sache von Technologieanbietern oder Netzbetreibern. Die IoT-Identität ist zu einer Angelegenheit von nationalem Interesse geworden.

Der Autor ist Alan Grau, VP of IoT, Embedded Solutions bei Sectigo

Über den Autor

Alan Grau ist VP of IoT, Embedded Solutions bei Sectigo, einem globalen Anbieter von automatisierten digitalen Identitätsmanagement- und Web-Sicherheitslösungen. Alan kam im Mai 2019 im Rahmen der Übernahme von Icon Labs durch das Unternehmen zu Sectigo , einem Anbieter von Sicherheitssoftware für IoT und eingebettete Geräte, wo er CTO und Mitbegründer war.