The necessity of ‘Secure-by-Design’ in today’s fast-changing world

Global

Global - English

Asia

Europe

Oceania

ANZ - English

Latin America

North America

Middle East and Africa

‹ All Posts

března 12, 2021

Cancel

Resetovat

ODESLAT

Nový svět "internetu věcí" se vyznačuje miliony a miliony připojených zařízení. Vzhledem k většímu počtu nezabezpečených zařízení a přístupových bodů k síti než kdykoli předtím jsou zásady "Secure-by-Design" nezbytné pro ochranu před rostoucími hrozbami kybernetické bezpečnosti.

Digitální technologie v posledních několika letech změnily svět a ovlivnily všechna odvětví podnikatelské činnosti a každodenního života. Výsledkem je svět internetu věcí (IoT), kde je vše propojeno a vybaveno přístroji.

Ke konci roku 2018 se na celém světě používalo odhadem 22 miliard zařízení připojených k IoT. Podle prognóz se tento počet do roku 2030 zvýší na 50 miliard, čímž vznikne obrovská síť vzájemně propojených zařízení. ^[1]

Na podporu této vysoce propojené budoucnosti se k sítím denně připojují tisíce zařízení internetu věcí (IoT). Touha po nových vlastnostech a funkcích navíc vyvolala "potřebu rychlosti", pokud jde o vývoj a zavádění nových typů zařízení.

Rychlý nárůst počtu složitých a propojených zařízení

Mnohá připojená zařízení IoT jsou nyní velmi složitá a obsahují pokročilé algoritmy umělé inteligence a další funkce nové generace.

Dobrým příkladem jsou bezpečnostní videokamery založené na protokolu IP. Za posledních 15 let se vyvinuly z jednoduchých analogových videokamer ve složitá, plně digitalizovaná zařízení IoT poháněná strojovým učením (ML) a umělou inteligencí.

Stejně jako u jiných typů zařízení byl vývoj poháněn požadavky zákazníků na lepší funkčnost a konektivitu. Tato poptávka také vyvolala naléhavý proces vývoje, kdy se poskytovatelé předháněli v tom, kdo co nejrychleji nabídne nejpokročilejší funkce, aby získali zákazníky a podíl na trhu.

Vyvážení rychlosti vývoje s ohledem na bezpečnost

Závod o vývoj funkčně bohatších a propojenějších zařízení IoT splnil provozní potřeby zákazníků, ale často došlo ke kompromisům v oblasti bezpečnosti.

Zapracování zabezpečení do všech aspektů výrobního procesu vyžaduje čas - vzácný zdroj, který není vždy k dispozici. Několik výrobců zařízení dalo kvůli časové tísni přednost rychlosti vývoje a výroby před bezpečností.

Důsledky: celosvětový nárůst kybernetických bezpečnostních incidentů

Důsledkem převahy rychlosti nad bezpečností je obrovský nárůst závažných kybernetických bezpečnostních incidentů v oblasti IoT. Kyberzločinci se poměrně snadno dostali k milionům zařízení IoT jednoduše proto, že tato zařízení nebyla vyvinuta a vyrobena s ohledem na bezpečnost.

Koncem roku 2016 se například Mirai Botnet stal světovou novinkou a zabezpečení internetu věcí se začala věnovat vážná pozornost. To je jasný příklad toho, co se může pokazit, když se k internetu připojí nezabezpečená zařízení IoT, jako jsou dětské chůvičky, síťové směrovače, zemědělské přístroje, lékařské přístroje, domácí spotřebiče, videorekordéry, kamery nebo detektory kouře, aniž by byla řádně zabezpečena.

V případě Mirai se útočníci dokázali nabourat do milionů nezabezpečených zařízení IoT - v tomto případě kamer. Společný počítačový výkon těchto zařízení pak využili k cíleným internetovým útokům DDoS (Distributed Denial of Service).

A poučení se stále nedostavilo.

Bohužel od roku 2016 došlo k mnoha dalším kybernetickým incidentům se zařízeními IoT - a dochází k nim každý den. Bezpečnostní výzkumníci ze společnosti F-Secure v roce 2019 vydali varování, že kybernetické útoky na zařízení IoT rostou nebývalým tempem. Naměřili "trojnásobný nárůst počtu útoků na více než 2,9 miliardy událostí"

Ve výzkumu byla tato rostoucí hrozba částečně přičítána "základnímu nedostatku obranných prvků ve stárnoucím firmwaru nebo architektuře a částečně nedostatku péče o informační bezpečnost. IT oddělení často o všech těchto zařízeních ve svých sítích ani nevědí." ^[2]

Zásadní význam výroby "Secure-by-Design

Jedním z klíčových způsobů, jak zabránit škodlivým útokům na zařízení IoT, je zlepšit obranu těchto zařízení. Bohužel je velmi obtížné zajistit účinné zabezpečení po výrobě a/nebo instalaci zařízení IoT. Nejúčinnějším způsobem, jak zabránit narušení bezpečnosti, je implementovat zabezpečení již při výrobě zařízení, často označované jako "Secure-by-Design".

Secure-by-Design znamená začlenění zabezpečení do každé fáze výrobního procesu, od koncepční fáze až po konečnou fázi dodávky - jak ukazuje následující graf:

In the conceptual phase, security requirements are defined; in the design phase, a security architecture is developed for the product design; in the development phase, software code review and code scanning will take place; in the verification phase, pen-testing is executed and in the delivery phase security training and technical support are provided. All these security measures in the production process improve the cyber resilience of a video security camera and make costly cybersecurity improvements afterwards unnecessary.

How to make Secure-by-Design an organizational priority

There are several prerequisites for manufacturers who want to integrate Secure-by-Design principles into all aspects of their production process. First, there needs to be commitment at an organizational level to invest in the security of each product. This may have an impact on production costs, but it will also dramatically improve the security and credibility – and therefore value – of products by providing certain security assurances to customers.

As an additional requirement, Secure-by-Design requires manufacturers to be open to penetration testing (pen testing) by third parties once devices are designed, manufactured, and operational. This ensures that products are able to withstand new and emerging cybersecurity threats – as well as existing ones.

Ultimately, Secure-by-Design principles require manufacturers to be truly serious about bolstering their cybersecurity and protecting their customers against security breaches. This is the case at Hikvision, where we use ‘Secure-by-Design’ principles to minimize the risk of damaging cybersecurity attacks across our product range. For more details about how we do it, please read our security white paper.

You can also discover more about our cybersecurity strategy and capabilities, and how we ensure our connected cameras and other products are resilient to attacks, here.

[1]Source: https://statista.com – H.Tankovska, 26 Oct 2020

[2]Source: Forbes.com – September 14, 2019