98 persen Traffic IoT tidak terenkripsi . Ketika saya membaca statistik itu – diterbitkan oleh Palo Alto Networks dalam laporan Ancaman Unit 42 2020 – saya seharusnya terkejut, kata Mike Nelson, Wakil Presiden Keamanan IoT di DigiCert .
Tahun lalu, sebuah Z-Scaler laporan mengatakan hal serupa:Bahwa 91% lalu lintas IoT tidak terenkripsi. Meskipun mungkin saja angka-angka tersebut tidak benar-benar mewakili masalah sebenarnya, satu hal yang pasti – terlalu banyak lalu lintas IoT yang tidak terenkripsi padahal seharusnya semuanya benar.
Lalu lintas IoT yang tidak terenkripsi paling jelas berarti bahwa penyerang dapat melakukan serangan Man in The Middle (MiTM). Dengan memanfaatkan aliran data yang tidak terenkripsi itu, penyerang dapat masuk di antara perangkat – atau perangkat dan jaringan yang lebih besar – dan mencuri atau mengubah data.
Kegagalan keamanan IoT didokumentasikan dengan baik. Perangkat yang terhubung sering kali dengan cepat dibawa ke pasar oleh produsen yang membuat kesalahan keamanan yang sangat jelas, tetapi sebagian besar mudah dicegah, dalam proses desain. Mereka kemudian dengan penuh semangat dibeli oleh perusahaan yang sering tidak memperhitungkan kesalahan itu dan disebarkan ke jaringan yang aman. Dari sana, penyerang menemukan mereka melalui pencarian sederhana dan menemukan titik pelanggaran yang mudah ke dalam perusahaan.
Namun – apa pun status keamanannya – IoT berkembang pesat. McKinsey memperkirakan bahwa akan ada 43 miliar perangkat IoT yang terhubung ke internet pada tahun 2023. Jika tren saat ini berlanjut – dan 98 persen lalu lintas IoT dibiarkan tidak terenkripsi – ini akan menjadi hiruk-pikuk bagi penjahat dunia maya.
Seringkali, ketika orang memikirkan peretasan IoT - mereka memikirkan boneka atau bel pintu yang rentan - serangan yang memanfaatkan fungsionalitas perangkat - menarik tetapi pada akhirnya menarik perhatian. Ancaman nyata jauh lebih tidak berwarna. Penerapan IoT perusahaan sering kali terdiri dari ratusan atau bahkan ribuan perangkat individual, jika hanya satu dari perangkat tersebut yang dibiarkan terbuka, maka itu dapat memberikan titik pelanggaran yang mudah ke jaringan yang aman.
Orang dapat melihat contoh seperti itu dalam pelanggaran IoT yang sekarang terkenal di Las Vegas. Pada tahun 2017, peretas menggunakan tangki ikan untuk melakukan pencurian kasino. Tangki ikan tersebut terhubung ke internet melalui sensor yang memungkinkan operatornya mengoperasikan dan mengontrol tangki dari jarak jauh. Namun, tidak lama setelah dipasang, staf keamanan melihat tangki ikan mengirim data ke server jarak jauh di Finlandia. Penyelidikan lebih lanjut mengungkapkan pelanggaran besar-besaran – peretas telah menggunakan tangki ikan itu untuk mengekstrak 10 gigabyte data dari database kasino rol tinggi.
Peretasan itu mengungkapkan tiga poin penting. Pertama, bahwa informasi yang dicuri tidak dienkripsi di sistem kasino dan tersedia untuk diambil oleh penyerang. Kedua, kasino memiliki akses dan pemeriksaan otentikasi yang tidak memadai untuk menghentikan penyerang mendapatkan dari perangkat IoT itu ke beberapa informasi paling sensitif yang mereka pegang. Terakhir, tangki ikan tersebut terhubung ke jaringan kasino yang lebih luas – dan dengan memanfaatkan kelemahan produk tersebut – mereka dapat terhubung dan mencuri sekumpulan data sensitif.
Konsekuensi dari serangan tersebut dapat bervariasi dari kebocoran data keuangan atau pelanggan hingga serangan terhadap infrastruktur penting. Pikirkan kerusakan dari pemadaman jaringan listrik skala besar, pemadaman internet, penutupan sistem kesehatan nasional dan akses ke perawatan kritis. Daftarnya terus berlanjut.
IoT atau tanpa IoT – semua data rahasia harus dienkripsi. Semuanya – Apa pun di atas 0 persen tidak dapat diterima. Anda mungkin dapat membuat kelonggaran kecil untuk kesalahan di sana-sini – tetapi data apa pun yang tidak dienkripsi rentan disusupi.
Yang tidak berarti itu tidak datang dengan tantangannya sendiri. Sifat data modern adalah bahwa ia terus bergerak – dari hub ke gateway, gateway ke cloud, dan seterusnya. Itu membuat segalanya menjadi lebih rumit karena data harus dienkripsi baik saat diam maupun saat terbang.
Itu terutama benar dengan jaringan IoT perusahaan, yang biasanya dibangun dari serangkaian titik akhir yang berbeda, sensor, dan perangkat yang terus-menerus mengirim data bolak-balik di antara bagian-bagiannya yang berbeda. Satu celah di jaringan itu dapat membiarkan penyerang masuk, menjadikannya tidak hanya area yang sangat sensitif, tetapi juga sangat penting untuk diperbaiki.
Infrastruktur Kunci Publik (PKI) dengan sertifikasi digital mulai menyelesaikan masalah itu. Karena PKI dapat memberikan autentikasi timbal balik antara berbagai node jaringan besar dan mengenkripsi data yang mengalir di seluruh, pada skala besar yang cocok untuk IoT, perusahaan mulai memanfaatkannya sebagai cara untuk mengamankan penerapan IoT mereka yang besar.
Meskipun industri sedang membuat kemajuan, dan perusahaan, praktisi, dan regulator terkemuka mengambil langkah-langkah untuk bekerja sama dan meningkatkan postur keamanan perangkat ini – jalan kita masih panjang. Kami membutuhkan lebih banyak produsen untuk memprioritaskan keamanan dan menerapkan praktik terbaik – enkripsi, otentikasi, dan integritas untuk beberapa nama – dan implementasinya tidak dapat dilakukan secara bertahap. Itu tidak akan cukup.
Enkripsi dalam skala besar adalah hal yang dibutuhkan perusahaan untuk mengamankan lalu lintas IoT. Produsen terkemuka memperhatikan dan menerapkan PKI. Mari berharap sisanya menyusul. Dan segera.
Penulisnya adalah Mike Nelson, Wakil Presiden Keamanan IoT di DigiCert .
Mike Nelson adalah Wakil Presiden Keamanan IoT di DigiCert, penyedia keamanan digital. Dalam peran ini, Mike mengawasi pengembangan pasar strategis perusahaan untuk berbagai industri infrastruktur penting yang mengamankan jaringan yang sangat sensitif dan perangkat Internet of Things (IoT), termasuk perawatan kesehatan, transportasi, operasi industri, serta implementasi jaringan pintar dan kota pintar.
Mike sering berkonsultasi dengan organisasi, berkontribusi pada laporan media, berpartisipasi dalam badan standar industri, dan berbicara di konferensi industri tentang bagaimana teknologi dapat digunakan untuk meningkatkan keamanan siber untuk sistem kritis dan orang-orang yang mengandalkannya.
Mike telah menghabiskan karirnya di bidang TI perawatan kesehatan termasuk di Departemen Kesehatan dan Layanan Kemanusiaan AS, GE Healthcare , dan Leavitt Partners – firma konsultan perawatan kesehatan butik. Semangat Mike untuk industri ini berasal dari pengalaman pribadinya sebagai penderita diabetes tipe 1 dan penggunaan teknologi terkoneksi dalam perawatannya.
Teknologi Internet of Things
Ada saat ketika fakta bahwa proyek TI besar melampaui anggaran dan dikirimkan melewati tanggal pengiriman bukanlah hal yang luar biasa; itu hampir setara untuk kursus. Jadi mengapa harus Internet of Things (IoT), yang mencakup komputasi dan teknologi komunikasi berbeda, tanya penulis teknologi lepas
Mengapa perusahaan harus mengadopsi IoT? Nah, T di IoT adalah singkatan dari Things dan ada banyak sekali Hal, tidak hanya di perusahaan Anda, tetapi di mobil Anda, di rumah Anda, di perawatan kesehatan Anda, supermarket, bahkan di dapur takeaway favorit Anda. Daftarnya bertambah setiap hari, hampir
Jika bukan sebelumnya, Transformasi Digital pasca penguncian akan sangat besar. Google frasa Transformasi Digital dan Anda akan mendapatkan lebih dari 500 juta hasil dalam waktu sekitar setengah detik. Untuk menempatkan ke dalam perspektif yang hampir sama banyaknya dengan Donald Trump dan dia cukup
Dalam arsitektur IoT klasik, perangkat pintar mengirim data yang dikumpulkan ke cloud atau pusat data jarak jauh untuk dianalisis. Data dalam jumlah besar yang berjalan dari dan ke perangkat dapat menyebabkan kemacetan yang membuat pendekatan ini tidak efektif dalam kasus penggunaan yang sensitif te
