Keamanan IoT sangat sulit dan berisiko. Pelanggaran keamanan dapat membahayakan nyawa manusia, karena peretas dapat mengontrol objek dunia nyata. Lebih buruk lagi, produk IoT memberi peretas titik serangan baru:perangkat fisik. Bagaimana cara Anda memastikan produk IoT Anda terlindungi di semua lapisan?
Bayangkan ini. Anda sedang minum kopi Minggu pagi saat Anda melihat di berita bahwa peretas mengambil kontrol perangkat yang terhubung. Saat reporter menceritakan kisahnya dan menceritakan kerusakannya, Anda menyadari bahwa mereka berbicara tentang Anda produk! Peretas mengeksploitasi lubang keamanan yang tidak Anda ketahui. Hal-hal tidak terlihat bagus untuk Anda atau produk Anda!
Alasan saya menempatkan Anda di tengah skenario ini adalah untuk membantu Anda menyadari bahwa pemikiran, “Itu tidak akan pernah terjadi pada saya”, dapat membuat Anda dalam masalah.
Pikirkanlah:sebelum IoT, serangan dunia maya akan berfokus pada penolakan layanan, kerugian jutaan dolar dalam penjualan, pencurian identitas, kartu kredit curian atau nomor jaminan sosial, dll. Tetapi karena IoT menyediakan akses ke dunia nyata objek, maka serangan dapat menyebabkan bahaya nyata bagi orang-orang, dan bahkan mengakibatkan hilangnya nyawa.
Pertimbangkan skenario ini. Bagaimana jika peretas mengambil alih:
Lift di gedung pencakar langit, menjebak semua penumpang
Mobil yang bisa menyetir sendiri – inilah eksperimen yang sangat menakutkan untuk meretas mobil yang sedang bergerak
Pengontrol turbin pesawat, memaksanya tidak berfungsi
Sebuah lengan robot di sebuah pabrik, memerintahkannya untuk mengenai segala sesuatu di sekitarnya
Kunci semua pintu di rumah pintar, membuatnya rentan terhadap penyusup
Peralatan medis di rumah sakit, membahayakan orang-orang yang terhubung dengannya
[tweetherder]Pelanggaran keamanan IoT dapat membahayakan nyawa manusia.[/tweetherder]
Inilah sebabnya mengapa keamanan harus menjadi perhatian utama. Serangan sangat nyata, dan kami harus tetap selangkah lebih maju. Alih-alih menjadi renungan, keamanan harus disematkan dalam cara Anda membuat produk IoT.
Tetapi sebagai Manajer Produk, Anda mungkin bukan ahli keamanan. Jadi dari mana Anda mulai menangani topik sebesar itu?
Evaluasi Keamanan di Setiap Lapisan Tumpukan IoT
Istilah "keamanan" adalah hal yang sangat samar, sehingga sulit untuk mengetahui dari mana harus memulai. Itulah mengapa saya menyertakan keamanan sebagai Area Keputusan dalam Kerangka Keputusan IoT saya. Dengan mengevaluasi keamanan di setiap lapisan tumpukan IoT, Anda akan memiliki pandangan yang lebih terfokus dan akan dapat merencanakan roadmap keamanan yang dapat ditindaklanjuti.
Pos terkait: Kendalikan Strategi IoT Anda dengan Kerangka Keputusan IoT.
Berdasarkan Tumpukan Teknologi IoT, dua vektor keamanan utama yang perlu Anda lindungi adalah:
Kerusakan fisik pada lapisan perangkat
Keamanan siber di empat lapisan lainnya (software, komunikasi, platform cloud, dan aplikasi yang disematkan)
1. Lindungi Dari Perubahan Fisik
Dengan IoT, kami memasang jutaan perangkat dalam jangkauan tangan, yang membuka peluang baru bagi peretas untuk mengutak-atik perangkat dan mengendalikannya.
Berikut adalah contoh nyata:Sebuah rumah sakit menginvestasikan jutaan dolar dalam keamanan siber untuk mencegah akses tidak sah ke jaringan mereka. Yang mengejutkan, tidak lama setelah perombakan keamanan selesai, mereka menemukan kuda Troya di jaringan mereka. Kepala keamanan siber terkejut dan tidak tahu dari mana serangan itu berasal karena semua kemungkinan titik serangan siber dilindungi. Server ditambal, kata sandi diberlakukan, firewall ada, sebut saja.
Jadi bagaimana penyerang bisa masuk ke jaringan rumah sakit?
Inilah penendangnya. Suatu hari, seorang perawat yang tidak curiga memutuskan untuk mengisi daya ponsel Androidnya menggunakan salah satu port USB tersebut. Telepon memiliki kuda Trojan yang menemukan jalannya ke jaringan rumah sakit. Ups.
Setiap kali saya keluar, saya kagum dengan jumlah port yang mudah diakses (USB, Kartu SD, Ethernet, dll.) yang Anda temukan di semua tempat, di rumah sakit, bandara, bisnis ritel, dan banyak lagi. Menakutkan ketika Anda mulai memperhatikan.
Perubahan fisik dapat dilakukan dengan banyak cara berbeda. Ini mencakup apa saja mulai dari menyambungkan ke port yang terbuka, hingga mengganggu daya perangkat, pencurian perangkat, melepas komponen, dll.
Sebagai Manajer Produk, Anda harus membuat analisis Anda sendiri tentang bagaimana seseorang dapat merusak perangkat Anda. Mulailah dengan berpikir:
Apa yang akan terjadi jika seseorang mendapatkan akses fisik ke perangkat saya?
Jenis kerusakan apa yang bisa mereka lakukan?
Apakah mereka dapat menggunakannya sebagai pintu belakang ke sistem saya atau jaringan pelanggan saya?
Kemudian pikirkan tentang bagaimana Anda dapat mencegah serangan tersebut. Berikut adalah beberapa contoh konkret:
Pastikan produk Anda tidak memiliki port atau konektor yang terbuka.
Terapkan kunci atau cara lain untuk memastikan bahwa hanya orang yang berwenang yang dapat mengakses produk Anda.
Sebisa mungkin, rencanakan agar produk Anda dipasang di luar jangkauan normal (misalnya, di ruangan yang aman atau di langit-langit yang tinggi).
2. Lindungi dari Serangan Keamanan Siber
Praktik keamanan siber standar berlaku untuk semua lapisan tumpukan IoT yang tersisa:mulai dari perangkat lunak yang disematkan hingga aplikasi. Sebagai Manajer Produk, peran Anda adalah memastikan keamanan konsisten di seluruh tumpukan karena berbagai lapisan tumpukan sering kali dikembangkan oleh tim teknis yang berbeda.
Keamanan siber memiliki banyak pertimbangan, mulai dari enkripsi hingga manajemen identitas, autentikasi, otorisasi, dll. Saran saya adalah menjalankan Tumpukan Teknologi IoT bersama tim Anda dan mengevaluasi risiko dan kerentanan di setiap lapisan tumpukan.
Kemudian uraikan langkah-langkah yang perlu Anda ambil untuk melindungi setiap lapisan tumpukan. Hasilnya bisa terlihat seperti ini:
Intinya
Sebagai Manajer Produk IoT, tujuan Anda bukan untuk menjadi ahli masalah keamanan. Sebaliknya, sasaran Anda adalah memastikan keamanan diperhitungkan di setiap lapisan tumpukan IoT dengan mengatasi gangguan fisik dan kerentanan keamanan siber.
Dengan menggunakan Kerangka Keputusan IoT untuk mengidentifikasi area risiko, Anda akan dapat mengidentifikasi kesenjangan dan membuat strategi untuk mengamankan produk Anda.
Juga, ingat bahwa keamanan bukanlah hal satu kali. Peretas selalu mencari cara baru untuk mengeksploitasi kerentanan dan menyebabkan bahaya, sehingga keamanan perlu menjadi bagian standar dalam membangun dan mengelola produk Anda.
Di postingan selanjutnya, saya akan memberikan tips untuk memastikan produk Anda tidak diretas dari dalam perusahaan Anda sendiri. Berlangganan untuk mendapat pemberitahuan segera setelah posting baru dirilis. (Email Anda tidak pernah dibagikan, dan Anda dapat berhenti berlangganan kapan saja.)
Jika Anda menikmati postingan ini, saya akan sangat menghargai jika Anda membagikannya ke jaringan Anda!
