Калифорнийский закон – начинаем с элементарного

01.10.2018

Вернуться к списку статей

С 1 января 2020 года в Калифорнии будет введен запрет на продажу умных гаджетов с выходом в Интернет с предустановленным одинаковым паролем. Производители должны присвоить каждому устройству уникальный пароль или обязать пользователей сменить предустановленный на новый при первом же использовании.

Калифорнийский закон – только начало, не решает всех проблем с IoT-устройствами. Но он как минимум обращает внимание на риски бесконтрольного использования умных устройств как в частном порядке, так и в организациях.

Производители часто устанавливают пароль по умолчанию, не уведомляя об опасности взлома пользователей. Это, по сути, открытая дверь для хакеров. Причем уязвимости игнорируют часто не только неопытные пользователи, но и специалисты служб безопасности крупных компаний. Так через умный термостат в аквариуме казино хакеры взломали локальную сеть и получили доступ к данным о VIP-клиентах. Это только один пример того, как смарт-устройства становятся стартовой точкой хакерской атаки.

Конечно, умные устройства умным рознь. Среди них есть и простенькие с монохромным дисплеем, которые безобидны в плане безопасности (например, чайник с электронным управлением или робот-пылесос). Другие устройства – полноценные микро-ПК с десктопной операционной системой. Они в плане уязвимости не отличаются от любых других компьютеров. Пока устройство не изолировано от остальной инфраструктуры гаджетов (подключено к ним) или хранит аккаунты, оно может быть взломано и использовано для доступа к данным. Пароль по умолчанию делает этот процесс элементарным.

Помимо смены предустановленного пароля на надежный, нужно соблюдать и другие правила информационной безопасности: регулярно обновлять ПО, быть внимательным к уведомлениям систем безопасности, использовать бытовые ИБ-инструменты (антивирус и брандмауэр), да и просто обращать внимание на подозрительную, нетипичную активность девайса (например, увеличение трафика).

В некоторых случаях, правда, никакие меры безопасности не помогут. Иногда производители выдают уязвимость за фичу, специальную возможность (так было с одним из продуктов Xiaomi), иногда просто обманывают (примерно так случилось с телевизорами LG, которые, несмотря на запрет, собирали данные о пользователях). В таком случае покупателю просто стоит решить, насколько он готов смириться с таким самоуправством устройств.

Ведущий аналитик «СёрчИнформ» Алексей Парфентьев

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.