Безопасность IoT — ответственность пользователя, а не поставщика?

У ФБР есть довольно интересное мнение о том, как пользователи должны относиться к устройствам, связанным с Интернетом (Интернет вещей, IoT), и к безопасности этих устройств. Если вы хотите пользоваться подобными вещами, то вы сами должны понимать, чем вам это угрожает, и заботиться о своей безопасности.

Правоохранительные органы США выпустили весьма интересный документ, в котором говорится об Интернете вещей и связанных с его существованием возможностях для осуществления киберпреступлений.

У интернет-вещей — от автомобилей до умных холодильников и систем обеспечения безопасности дома — есть одна общая черта — соединение с Интернетом и передача данных. Для доступа к этим устройствам используются пароли, и если вы не сменили пароли по умолчанию, то можете получить массу проблем.

Интернет-вещам полагаются всевозможные обновления программного обеспечения и патчи безопасности, однако очень часто встроенный софт остается устаревшим. Критические уязвимости обнаруживаются в этих продуктах практически еженедельно, более того, поставщики вынуждены практически каждую неделю закрывать новые проблемы безопасности.

Конеяно, существует определенная ответственность и пользователей. Они должны понимать, какие риски им грозят (правда, чаще всего они об этом не задумываются). Они должны сразу устанавливать соответствующие обновления ПО. Однако стоит понимать, что напомнить пользователю о необходимости обновления и переложить всю ответственность за безопасность этого устройства на плечи пользователя — это несколько разные вещи.

Производителям устройств не стоит ждать, что каждый пользователь разберется или хотя бы проявит интерес к кибербезопасности. Увы, этого не произойдет. ФБР рекомендует, чтобы устройства IoT были изолированы в собственных защищенных сетях. Увы, это практически невозможно.

Согласно рекомендациям ФБР, широкая публика должна знать о рисках применения устройств, установленных в их домах и фирмах. Однако специалисты ведомства явно не понимают, что потребители — явно не группа специалистов по безопасности. Более того, огромная часть пользователей не хотят даже задумываться на эту тему.

Возможно, ФБР лучше обратиться со своими рекомендациями к поставщикам, а не апеллировать к ответственности пользователей и уровню их познаний.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.