Vernetzte Uhren, smarte Kopfhörer, Sprachassistenten… Vernetzte Dinge gehören heute zu unserem Alltag, auch bei der Arbeit. Laut Palo Alto Networks sind 98 % des Datenverkehrs verbundener Objekte unverschlüsselt. 57 % davon enthalten Sicherheitslücken mit dem Risiko der Fernsteuerung. Angesichts dieser Schwachstellen gibt es Lösungen für die Designer dieser Objekte, um sie so weit wie möglich zu schützen.
Wenn wir über das Internet der Dinge sprechen (Das Internet der Dinge oder Internet der Dinge) sind Objekte oft mit dem Internet verbunden und mit mindestens einem Computerserver verbunden. Die Risiken des Angriffs sind also vielfältig… Hier einige Illustrationen mit der dazugehörigen Lösung.
Der Angreifer fängt von Mitarbeitern gesendete Daten ab
Personenbezogene Daten von Mitarbeitern oder Mitarbeitern wie Postanschrift, Telefonnummer oder schlimmer noch, Bankkennungen und Passwörter können von böswilligen Personen verwendet werden.
Die Lösung ist Ende-zu-Ende-Verschlüsselung der übertragenen Daten. Dazu gehört die Integration von Algorithmen, um die gesendete Nachricht für jeden, der die Nachricht abruft, unlesbar zu machen. Die andere Methode ist die Möglichkeit, den Absender sicher zu identifizieren und so zu vermeiden, dass der Inhalt gelesen wird, den ein Angreifer senden könnte, um den wahren Absender der Nachricht zu ersetzen. Dies ist kostenlos und weit verbreitet. Um diese Art von Sicherheit zu implementieren, wird jede Programmiersprache verschlüsselt. Wir können erwähnen:
Dieser Prozess ist eine Voraussetzung für die Entwicklung vernetzter Objekte.
Sie können auch eine sichere Verbindung verwenden, indem Sie https mit dem Server. Dies muss systematisch erfolgen. Das zu befolgende Verfahren ist sehr einfach und gut dokumentiert. Auf der Google Developer-Website erklärt ein Chrome-Ingenieur Schritt für Schritt, wie das Protokoll aktiviert wird https zu seinem Diener. Konkret beläuft sich dies auf Erstellen Sie einen privaten Schlüssel und einen öffentlichen Schlüssel Dadurch kann jeder Benutzer überprüfen, ob der Server, zu dem er eine Verbindung herstellt, der Server ist, für den er sich hält, und nicht der Server eines Angreifers, der sensible Daten abrufen kann.
Der Angreifer ahmt den Server nach, und sein Standort reagiert, um die Kontrolle über ein Objekt zu übernehmen
Der Angreifer kann dann die Videoüberwachungskamera des Unternehmens steuern, um Mitarbeiter und Kunden auszuspionieren, Ihre Verbindung zum Betreten des Unternehmens sperren oder einfach Audio an die verbundenen Lautsprecher senden.
Die Lösung besteht darin, ein System einzurichten Zertifikat Um zu überprüfen, ob der Server, mit dem Sie sprechen, der ist, den Sie in Betracht ziehen. Es ist ein bisschen wie Personalausweis Dass wir beweisen, dass wir zum Beispiel tatsächlich derjenige sind, der Geld von der Bank abhebt. OpenSSL ist ein Open-Source-Tooldas heißt nicht urheberrechtlich geschützt (Jeder Entwickler kann frei und kostenlos verwenden oder beitragen). Ermöglicht die Erstellung von Zertifikaten im laufenden Betrieb. Besorgen Sie sich für Unternehmen ein von anerkanntes Zertifikat Zertifizierungsstelle Es ist wichtig, in den Augen seiner Kunden glaubwürdig zu sein. Zertifizierungsstelle (bzw Zertifizierungsstelle in Englisch) ein vertrauenswürdiger Dritter Überprüft die Echtheit Ihres Zertifikatsund damit Ihre digitale Identität als Unternehmen. Zu den Zertifizierungsreferenzen gehören: Google, Cloudflare, Comodo, Digicert. Dieses Zertifikat kann jedoch immer gestohlen werden, aber hier wird das Problem menschlich: Wer hat den privaten Schlüssel des Zertifikats verteilt?
Schützen Sie sich vor Angriffen, indem Sie Mitarbeiter schulen
In den meisten Fällen von Unternehmens-Hacking ist der Fehler menschlich (auf dem Tisch liegen gebliebenes Passwort, verlorener Zugangsausweis, Unaufmerksamkeit gegenüber Fremden in Büros usw.). Im Internet der Dinge ist das Szenario identisch. Die verwendeten Informationssysteme sind standardmäßig sicher (Internetbox, Computer, Bankkarte, verbundene Uhr, verbundene Festplatte, verbundenes Schloss usw.). Es müssen jedoch Vorkehrungen getroffen werden: Legen Sie kein Passwort auf Ihr Handyes nicht irgendwo liegen zu lassen, nachdem alle im Unternehmen darauf zugegriffen haben oder sogar die Internetports Ihres Geräts geöffnet haben … Auch wenn dies manchmal offensichtlich erscheint, ist es nicht jedermanns Sache, und insbesondere nicht für Neueinsteiger im Unternehmen, die für einige feststellen, Ihre erste Berufserfahrung und die Risiken, die sie über Nacht eingehen. Bereitstellung von Schulungen zur Sensibilisierung für die Sicherheit von Informationstechnologiesystemen Für die Mitarbeiter besteht das Ziel darin, sich vor den Risiken von Cyberangriffen und möglicherweise erheblichen Geldverlusten zu schützen.
Cybersicherheit ist also für Einzelpersonen, aber mehr noch für Unternehmen unverzichtbar geworden. Als Führungskraft können Sie auf erfahrene Designer zurückgreifen, die jedes mit Ihrer Marke verbundene Element sichern können. Teamtraining ist auch eine Voraussetzung, um das Bewusstsein für Risiken zu schärfen und vor allem gute Reaktionen einzuleiten.
(Bildnachweis: iStock)
Artikel von
Dieser Text wird unter der Verantwortung seines Autors veröffentlicht. Ihr Inhalt betrifft in keiner Weise das Redaktionsteam von Les Echos Solutions.