מחקר: ארגונים מזלזלים באבטחת IoT – ומאבדים לקוחות והכנסות

האינטרנט של הדברים הפסיק כבר מזמן להיות מילת באזזז והוא הופך למציאות בקצבים מהירים הרבה יותר ממה שאנחנו יכולים לדמיין. הוא נחשב כאחד המרכיבים למימוש הטרנספורמציה הדיגיטלית של ארגונים, ומיישם את החזון של עולם מחובר מכל מקום ולכל מקום. התחזיות השונות מתחרות ביניהן בשחרור נתונים על היקף העצמים המחוברים שיהיו בעתיד. הפופולרית ביותר טוענת שעד 2020 יהיו פי שמונה מכשירים מחוברים לרשת מאשר כמות בני האדם שיחיו על פני כדור הארץ.

ה-IoT בולט בתחומים כמו בית חכם, מכונית חכמה, אבטחה וביטחון – בין אם בערים החכמות יותר או פחות, או בתעשייה. הפופולריות של רכיבים אלה קורצת להאקרים. ואמנם, מחקר עדכני של ענקית האבטחה טרנד מיקרו מגלה שהאקרים שמנסים לפרוץ למערכות של ארגונים דרך רכיבי IoT – יש סיכוי סביר שחייהם יהיו קלים יותר ושיצליחו במשימתם.

המחקר המקיף בוצע בחודשים האחרונים בקרב 1,150 מקבלי החלטות בתחום אבטחת המידע מרחבי העולם. הוא גילה שהם מודעים לשאלת אבטחת המידע בהתקנת מכשירי אינטרנט של הדברים, ושרובם – 53% – סבורים שאלה מסכנים באופן ממשי את ארגונם.

והנה פרדוקס: לדברי רוב הנשאלים, הנזק העיקרי שנגרם לארגונים כתוצאה ממתקפות סייבר על רכיבי אינטרנט של הדברים הוא אובדן אמון הלקוחות, אבל למרות זאת, הם נשארים לא מוכנים. מנהלי אבטחת המידע אמרו כי בטרם הם מתקינים רכיבי IoT הם עושים סדרת בדיקות, אבל מינימלית בלבד, רק מה שנדרש. זאת, על אף שהם הודו שבשנה האחרונה חווה ארגונם לפחות שלוש מתקפות סייבר דרך רכיבים אלה. למרות זאת, הם נשארים אדישים ולא עושים כל פעולה חריגה להגברת האבטחה. בין אלה שכן עושים, יש מנהלי אבטחה שציינו שהם שכרו יועץ אבטחה, אבל לא ברור במה הוא תרם להגברתה.

לא רק אובדן אמון הלקוח

המשמעות של הזלזול הזה באבטחת האינטרנט של הדברים היא הרבה יותר מאשר אובדן של אמון הלקוח – דבר חשוב ככל שיהיה. מומחי טרנד מיקרו מציינים סיכונים לא פחות חשובים: אובדן הכנסות, אובדן מידע פרטי, והפרת הוראות רגולציה. דבר זה מקבל משנה תוקף לאור העובדה שלפני יותר מחודשיים נכנסו לתוקף תקנות האבטחה של האיחוד האירופי, ה-GDPR, שמחמירות מאוד בכל מה שקשור להגנה על מערכות המידע של הארגונים, ובעיקר להגנה על הפרטיות.

הסיבות למציאות המוזרה הזו הן מגוונות. קווין סימזר, מנהל התפעול של טרנד מיקרו, סבור שאחת הסיבות נעוצה בכך שמערכות ההפעלה של התקני האינטרנט של הדברים לא תוכננו להטמעת טלאי על טלאי. לכן, לדבריו, ה-IoT הופך לדבר הכי פחות בטוח בארגון, שמאפשר כמעט לכל פורץ מתחיל להיכנס למחשבי הארגון ולעשות בהם ככל העולה על רוחו.

המענה לחורי האבטחה האלה אינו בשיפור רמת הבטיחות של האינטרנט של הדברים, אלא בהשקעה מסיבית, ארוכת טווח, במערכות הליבה שאיתן מתקשרים הרכיבים הללו. זהו המחסום המרכזי שעומד בפני ארגונים במגזרים רבים בעולם. הם מבינים שהדרך לעולם החדש, הדיגיטלי, עוברת ב-IoT, אבל השיח הוא חד כיווני: הממשקים החכמים מעבירים את המידע למערכות הארגוניות, אלא שמערכות אלה לא תמיד מסוגלות להגן על עצמן מפני חודרים פוטנציאליים.

הרשויות המקומיות כדוגמה

המציאות הזאת היא בעלת השלכות קריטיות על תפעול המערכות. בואו ניקח לדוגמה את הרשויות המקומיות: השימוש באינטרנט של הדברים בהן הולך וגובר, כחלק מאסטרטגיית העיר החכמה. הן משקיעות משאבים רבים בהטמעת רכיבי IoT ברמזורים, מצלמות, מערכות תשתית ועוד. אבל מערכות הליבה של הרשויות ישנות מאוד, ורמת ההגנה שלהן מפני חדירות סייבר דרך רכיבי אינטרנט של הדברים חלשה ולפעמים לא קיימת בכלל. התוצאות עגומות וכוללות פריצות למערכות המידע של הרשויות. לעתים הן אף נענות לדרישות כופר ומשלמות, כדי למזער נזקים. שלא לדבר על כך שמדובר בחשיפה של מידע על תושבים, שנמכר כסחורה חמה בשוק.

יש לכך עוד השלכה חמורה: העדר היכולת להגן על המערכות של העירייה מונעת מרבות מהן להיכנס בכלל לפרויקטים דיגיטליים, מה שמשפיע על השירות לאזרח – ולרעה.

יכולות להיות בהקשר של הגנה, או יותר נכון אי הגנה, על רכיבי אינטרנט של הדברים השלכות חמורות גם בתעשייה, ברצפת הייצור ובתהליכי הייצור. הדרישה הגוברת לאוטומציה בתעשייה המסורתית, כדי לעמוד טוב יותר בתחרות, מביאה לשילובם של רכיבי ה-IoT במערכות ייצור קריטיות של מפעלים. הגנה לא מספיק טובה על רכיבים אלה עלולה לגרום לשיבושים ולנזקים חמורים ביותר, עד כדי השבתת מפעלים – וכבר היו דברים מעולם.

השורה התחתונה: האינטרנט של הדברים הוא הגשר בין המערכות המרכזיות בארגון לבין העולם החדש. אבל מסתבר שהגשר הזה, שכולם אוהבים ללכת עליו, לא מספיק בטוח, ואפילו רעוע. מנהלי אבטחה בארגונים צריכים להתעורר ולעשות את כל מה שנדרש כדי שהממשק החכם, שמעביר כמויות של מידע, לא יהווה פתח קל לתוקפים ופורצים.