กลยุทธ์การจัดการความเสี่ยง IoT สำหรับผู้นำธุรกิจ

ความสามารถของ IoT (Internet of Things) ช่วยให้บุคคลและองค์กรสามารถสร้างมูลค่าได้เร็วกว่าที่เคย เกือบทุกอย่างที่ธุรกิจทำเพื่อบริหารองค์กรต้องอาศัยเทคโนโลยีดิจิทัล IoT พัฒนาไปสู่การจัดการข้อมูลและการสื่อสารที่มีอยู่ทั่วไปผ่านเทคโนโลยีดิจิทัล วัตถุอัจฉริยะที่เชื่อมต่อกันมอบโอกาสในการจับและสร้างมูลค่า อุปกรณ์ IoT เป็นผลมาจากการรวมข้อมูลและเทคโนโลยีการดำเนินงานเข้าด้วยกัน

เทคโนโลยีจำนวนมากเป็นผลมาจากการผสานรวมฮาร์ดแวร์ราคาต่ำ ข้อมูลขนาดใหญ่ ระบบฝังตัว คอมพิวเตอร์มือถือ การประมวลผลแบบคลาวด์ และความก้าวหน้าทางเทคโนโลยีอื่น ๆ อุปกรณ์ดังกล่าวมีการเชื่อมต่อเครือข่าย การจัดเก็บข้อมูล และฟังก์ชันการประมวลผลสำหรับอุปกรณ์ สิ่งเหล่านี้ทำให้เกิดความสามารถทางเทคโนโลยีและประสิทธิภาพใหม่ๆ เช่น การแก้ไขปัญหา การกำหนดค่า และการตรวจสอบ อุปกรณ์เหล่านี้ยังมีศักยภาพในการสร้างความเสี่ยงและกลยุทธ์ความต้องการสำหรับการบริหารความเสี่ยง IoT

ผู้นำธุรกิจจะต้องมีแผนสำหรับการบริหารความเสี่ยง IoT ที่ปกป้องข้อมูลที่รวบรวมและใช้เพื่อขับเคลื่อนความได้เปรียบทางการแข่งขัน บทความนี้จะอธิบายกรอบการทำงานเพื่อทำความเข้าใจว่าธุรกิจสร้างมูลค่าจากข้อมูลที่รวบรวมได้อย่างไร และเหตุใดระบบที่มีความยืดหยุ่น ระมัดระวัง และปลอดภัยจึงมีความจำเป็นในทุกขั้นตอน การนำแนวทางดังกล่าวมาใช้ถือเป็นสิ่งสำคัญในการช่วยให้ผู้นำระบุและตอบสนองต่อความเสี่ยง และขับเคลื่อนผลการดำเนินงานของธุรกิจ

การจัดการความเสี่ยง IoT

IoT คือเครือข่ายของอุปกรณ์ที่มีซอฟต์แวร์ เซ็นเซอร์ และความสามารถในการสื่อสารกับอุปกรณ์อื่นๆ มีการใช้งานที่หลากหลายทั้งในด้านผู้บริโภคและเชิงพาณิชย์ นำเสนอความสามารถในการจัดการอุปกรณ์และระบบจากระยะไกลเพื่อเปลี่ยนแปลงความปลอดภัย การทำความร้อน และแสงสว่างที่บ้าน หรือตรวจสอบระบบการผลิตจากระยะไกลผ่านทางอินเทอร์เน็ต

อุปกรณ์ IoT มอบความยืดหยุ่นและขอบเขตสำหรับองค์กรที่กำลังมองหาการประหยัดประสิทธิภาพใหม่หรือการให้บริการใหม่ พวกเขาให้ความอุ่นใจและความสะดวกสบายแก่ผู้บริโภค IoT นำเสนอความท้าทายที่ไม่เหมือนใครสำหรับผู้จัดการธุรกิจ ผู้จัดการชอบการควบคุมอุปกรณ์ IoT อย่างปลอดภัย เพื่อให้แน่ใจว่าอุปกรณ์จะปฏิบัติตามมาตรฐานไอทีขององค์กร

IoT แตกต่างไปจากประสบการณ์ทั่วไปอย่างมากพอๆ กับการใช้งาน IoT ที่บ้านระเบิด ผู้บริโภคจำนวนมากจำเป็นต้องตระหนักถึงความเสี่ยงที่เกี่ยวข้องหรือระดับความสามารถในหูฟัง อุปกรณ์อัจฉริยะ เครื่องซักผ้า หรือตู้เย็น

อุปกรณ์ที่แพร่หลาย ความเสี่ยงที่แพร่หลาย

เนื่องจากมีผู้คนจำนวนมากทำงานจากที่บ้าน นายจ้างจึงสนใจว่าพนักงานใช้และรักษาความปลอดภัยของเทคโนโลยีที่บ้านอย่างไร ปัญหานี้มีความสำคัญต่อฝ่ายปฏิบัติการ ไอที ความปลอดภัย IoT การปฏิบัติตามกฎระเบียบ และผู้จัดการความเสี่ยงของบริษัทต่างๆ ทั่วโลก อุปกรณ์ที่ไม่ปลอดภัยคุกคามการแสวงหาประโยชน์จากแฮกเกอร์ที่ต้องการใช้อุปกรณ์เหล่านี้เป็นช่องทางในเครือข่ายส่วนบุคคลหรือองค์กร

ตั้งแต่ปี 2020 เครือข่ายองค์กรและเครือข่ายส่วนตัวได้ผสมผสานกันเพื่อให้สภาพแวดล้อมภายในประเทศที่ไม่ปลอดภัยสามารถส่งผลกระทบต่อสภาพแวดล้อมองค์กรที่ปลอดภัยผ่านอุปกรณ์ IoT ที่ไม่ปลอดภัย ความเสี่ยงมาจากแหล่งต่างๆ หลายๆ คนจำเป็นต้องทราบว่าอุปกรณ์นั้นพร้อมใช้งานอินเทอร์เน็ตแล้ว

รหัสผ่านที่ฝังอยู่ในอุปกรณ์ยังคงเป็นค่าเริ่มต้นจากโรงงาน ซึ่งทำให้พร้อมสำหรับการโจมตี แพทช์รักษาความปลอดภัยเป็นบางครั้งเท่านั้นที่อัปเดต การรวมกันและปริมาณทำให้แฮกเกอร์มีพื้นผิวที่หลากหลายสำหรับการโจมตี

ความท้าทายด้านความปลอดภัยสำหรับธุรกิจ

เทคโนโลยีดิจิทัลใหม่ๆ มักเกิดขึ้นโดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ช่องโหว่ด้านความปลอดภัยและช่องว่างในการปกป้องระบบเดิม ได้แก่

• การป้องกันรหัสผ่านที่อ่อนแอ
• ขาดหรือแพตช์ที่อ่อนแอและกลไกการอัพเดต
• อินเทอร์เฟซที่ไม่ปลอดภัย
• การสื่อสารข้อมูลและการป้องกันการจัดเก็บข้อมูลไม่เพียงพอ
• การจัดการอุปกรณ์ IoT ไม่ดี
• ช่องว่างทักษะ IoT

ข้อมูลประจำตัวที่ฝังและฮาร์ดโค้ดเป็นอันตรายต่อระบบไอทีและอุปกรณ์ IoT ข้อมูลประจำตัวที่คาดเดาได้ถือเป็นโชคลาภของแฮ็กเกอร์ที่ช่วยให้สามารถโจมตีอุปกรณ์ได้โดยตรง มัลแวร์เข้าสู่ระบบอุปกรณ์ IoT โดยใช้ตารางรหัสผ่านและชื่อผู้ใช้เริ่มต้นทั่วไป

การเชื่อมต่อและความสะดวกในการใช้งานเป็นเป้าหมายในการพัฒนาผลิตภัณฑ์ IoT พวกเขามีความเสี่ยงเมื่อแฮกเกอร์พบจุดบกพร่องหรือปัญหาด้านความปลอดภัยอื่นๆ เมื่อเวลาผ่านไป อุปกรณ์ที่ไม่ได้รับการแก้ไขด้วยการอัปเดตเป็นประจำจะถูกเปิดเผย มัลแวร์ส่งเวิร์มที่แพร่กระจายจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่งโดยไม่ต้องติดต่อกับมนุษย์

อุปกรณ์ IoT ต้องการโปรโตคอล บริการ และแอปเพื่อประมวลผลและสื่อสารข้อมูล ช่องโหว่จำนวนมากเกิดจากอินเทอร์เฟซที่ไม่ปลอดภัย เกี่ยวข้องกับอุปกรณ์เคลื่อนที่ คลาวด์ Application API และอินเทอร์เฟซเว็บ การขาดการอนุญาตและการรับรองความถูกต้อง และการเข้ารหัสที่อ่อนแอหรือไม่มีเลยถือเป็นข้อกังวลทั่วไปเกี่ยวกับอุปกรณ์ IoT

ความปลอดภัยของแอปพลิเคชันเนื่องจากการจัดเก็บข้อมูลและการสื่อสารที่ไม่ปลอดภัยถือเป็นหนึ่งในความกลัวที่พบบ่อยที่สุด ความท้าทายที่สำคัญประการหนึ่งคือการใช้อุปกรณ์ที่ถูกบุกรุกเพื่อเข้าถึงข้อมูลที่เป็นความลับ การศึกษาที่ตีพิมพ์ในปี 2020 ได้วิเคราะห์อุปกรณ์เชื่อมต่อที่ไม่มีการจัดการมากกว่าห้าล้านเครื่องในด้านวิทยาศาสตร์ชีวภาพ การผลิต การค้าปลีก และการดูแลสุขภาพ

โดยเผยให้เห็นถึงความเสี่ยงและช่องโหว่มากมายในชุดอุปกรณ์ที่เชื่อมต่ออย่างน่าทึ่ง ภัยคุกคามและช่องโหว่ ได้แก่ สำนักงานคณะกรรมการอาหารและยาของสหรัฐอเมริกาเรียกคืนอุปกรณ์ทางการแพทย์ที่มีความเสี่ยงและมีข้อบกพร่อง การละเมิดการปฏิบัติตามข้อกำหนด และอุปกรณ์ IoT ที่ซ่อนอยู่ซึ่งทำงานโดยปราศจากความรู้ด้านไอที บริษัทต่างๆ เผชิญกับช่องว่างทักษะ IoT ที่สำคัญ ซึ่งทำให้ไม่สามารถใช้ประโยชน์จากโอกาสใหม่ๆ ได้อย่างเต็มที่

กลยุทธ์ IoT

การรักษาความปลอดภัย IoT มีความซับซ้อน แต่ บริษัทพัฒนาซอฟต์แวร์ IoT เช่น Yalantis รู้ดีถึงแนวทางปฏิบัติในการประเมินความเสี่ยงและบรรเทาความเสี่ยงที่ดีที่สุด หลักพื้นฐานคือการพิจารณาความปลอดภัยตั้งแต่เริ่มต้นกระบวนการออกแบบ และระดมความรู้จากผู้เชี่ยวชาญโดยเร็วที่สุด ยิ่งกระบวนการประเมินและทดสอบช้าเท่าไร การดำเนินการให้ถูกต้องก็จะมีค่าใช้จ่ายสูงและยากมากขึ้นเท่านั้น

รหัสผ่านที่อ่อนแอ

การค้นพบแผนฉุกเฉินที่ไม่เพียงพอและจุดอ่อนที่สำคัญหลังจากการละเมิดนั้นมีค่าใช้จ่ายสูงกว่าอีก ขั้นแรกมุ่งเน้นไปที่พื้นฐานและการสร้างจากพื้นดินขึ้นไป ลำดับแรกของธุรกิจคือการสร้างแอปพลิเคชันที่ใช้โปรโตคอลและมาตรฐานความปลอดภัยล่าสุด

แนวปฏิบัติ แนวทางปฏิบัติที่ดีที่สุด มาตรฐาน และนโยบายต่างๆ มีให้จากแหล่งต่างๆ เช่น National Institute of Standards ในสหรัฐอเมริกาและ European Union Agency for Network and Information Security ผู้จัดการเครือข่ายที่ใช้การระบุตัวตน IoT ที่ปรับเปลี่ยนและการจัดการการเข้าถึงมีคุณสมบัติการตรวจสอบสิทธิ์ที่หลากหลายซึ่งลดความเสี่ยงจากการโจมตี IoT

ใบรับรองดิจิทัล การรับรองความถูกต้องทางชีวภาพ การรับรองความถูกต้องด้วยสองปัจจัย และการรับรองความถูกต้องแบบหลายปัจจัย ช่วยให้มั่นใจได้ว่าจะไม่มีใครเข้าถึงอุปกรณ์ที่เชื่อมต่อโดยไม่ได้รับอนุญาต PAM (Privileged Access Management) เป็นสิ่งจำเป็นในการป้องกันเครือข่าย IoT จากการโจมตีของแฮกเกอร์และลดปัญหาด้านความปลอดภัยของ IoT

แพตช์และอัปเดตที่อ่อนแอ

ผู้ผลิตที่มีความรับผิดชอบพยายามรักษาความปลอดภัยของเฟิร์มแวร์และซอฟต์แวร์ที่ฝังอยู่ในอุปกรณ์ของตน พวกเขาปล่อยการอัปเดตความปลอดภัยเมื่อพบช่องโหว่ กลยุทธ์ FOTA (เฟิร์มแวร์ Over The Air) ที่วางแผนไว้อย่างดีประกอบด้วยการเปิดเผยช่องโหว่ การอัปเดตความปลอดภัยเป็นประจำ และรหัสผ่านเฉพาะ

การสื่อสารและการป้องกันการจัดเก็บไม่เพียงพอ

การแยกเครือข่ายและการจัดเก็บข้อมูลที่ปลอดภัยถือเป็นสิ่งสำคัญ การเข้ารหัสเป็นวิธีหนึ่งในการจัดการกับความท้าทายอย่างมีประสิทธิภาพ การเข้ารหัสข้อมูลช่วยป้องกันการมองเห็นเมื่อเกิดการโจรกรรมหรือการเข้าถึงโดยไม่ได้รับอนุญาต ช่วยปกป้องข้อมูลที่มีการเคลื่อนไหวและอยู่นิ่ง

การถอดรหัสและการเข้ารหัสข้อมูลช่วยให้มั่นใจได้ถึงการรักษาความลับของข้อมูลและความเป็นส่วนตัว และลดความเสี่ยงของการโจรกรรมข้อมูล เป็นโซลูชั่นที่มีประสิทธิภาพในการต่อต้านการจารกรรมทางอุตสาหกรรมที่เรียกว่าการดมกลิ่นการโจมตีเมื่ออาชญากรไซเบอร์เข้าถึงข้อมูลที่ส่งหรือรับบนเครือข่ายแบบพาสซีฟ

การเข้ารหัสเป็นมาตรฐานในการป้องกันการโจมตีแบบ Man-in-The-Middle เมื่อแฮกเกอร์สกัดกั้นข้อความที่เกี่ยวข้องและแทรกข้อความใหม่ระหว่างอุปกรณ์ กฎเดียวกันนี้ใช้กับการสื่อสารระหว่างอินเทอร์เฟซที่เชื่อมต่อและวัตถุอัจฉริยะ เช่น แอพมือถือและเว็บ

การจัดการข้อมูลไม่ดี

การใช้ IoT กับแพลตฟอร์มการจัดการอุปกรณ์ช่วยลดภัยคุกคามและช่องโหว่ด้านความปลอดภัยได้อย่างมาก แพลตฟอร์มเหล่านี้มอบความสามารถในการจัดการระดับชั้นนำเพื่ออัปเดต จัดการ ตรวจสอบ และปรับใช้อุปกรณ์ IoT พวกเขาตอบสนองต่อความท้าทายด้านความปลอดภัยที่สำคัญ และโซลูชั่นแบบ end-to-end จะต้องได้รับการจัดการด้วยการจัดการอุปกรณ์

แพลตฟอร์มเหล่านี้นำเสนอมุมมองอุปกรณ์เดียวที่ช่วยเปิดใช้งานการรักษาความปลอดภัยแบบรวมศูนย์และการแยกไคลเอ็นต์สำหรับโปรไฟล์ของอุปกรณ์ที่กระจัดกระจาย ฟังก์ชันแพลตฟอร์มเหล่านี้ปรับปรุงการแจ้งเตือน แพตช์ความปลอดภัย เฟิร์มแวร์ การอัปเกรด การจัดเตรียมสินทรัพย์ และรายงานเกี่ยวกับตัวชี้วัดที่เกี่ยวข้องกับสินทรัพย์ IoT โดยเฉพาะ

ช่องว่างทักษะ IoT

โปรแกรมการฝึกอบรมและยกระดับทักษะเป็นส่วนหนึ่งของความปลอดภัยทางไซเบอร์ของ Internet of Things คำแนะนำประกอบด้วยกระดานข่าว จดหมายข่าวเชิงปฏิบัติ และเวิร์กช็อปที่ให้ข้อมูลเชิงลึกซึ่งสมาชิกในทีมพยายามแฮ็กอุปกรณ์อัจฉริยะ พวกเขาสร้างความแตกต่างอย่างมาก

บทสรุป

เหตุใดการรักษาความปลอดภัย IoT จึงมีความสำคัญจึงเป็นไปไม่ได้ที่จะกล่าวเกินจริง ความปลอดภัยเป็นมิติสำคัญของการออกแบบ IoT กลยุทธ์ความปลอดภัยทางไซเบอร์มีจุดมุ่งหมายเพื่อปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของอุปกรณ์และบริการที่เชื่อมต่อ การออกแบบความปลอดภัยที่เหมาะสมช่วยให้บรรลุเป้าหมายเหล่านั้น

การนำคำแนะนำข้างต้นไปใช้ เช่น ความรู้ของผู้เชี่ยวชาญที่ระดมตั้งแต่เริ่มต้นและการรับรองความถูกต้องและโซลูชันการจัดการอุปกรณ์ตามการเข้ารหัส จะป้องกันการเข้าถึงอุปกรณ์ ซอฟต์แวร์ และข้อมูลโดยไม่ได้รับอนุญาต การควบคุมเหล่านี้รับประกันความพร้อมใช้งานของบริการและความสมบูรณ์ของข้อมูล บริษัทอย่าง Yalantis ให้ความสำคัญกับกฎระเบียบ การปฏิบัติตามข้อกำหนด และมาตรฐานความปลอดภัยที่ธุรกิจจำเป็นต้องทราบ