С 1 января 2020 года в Калифорнии будет введен запрет на продажу умных гаджетов с выходом в Интернет с предустановленным одинаковым паролем. Производители должны присвоить каждому устройству уникальный пароль или обязать пользователей сменить предустановленный на новый при первом же использовании.

Калифорнийский закон – только начало, не решает всех проблем с IoT-устройствами. Но он как минимум обращает внимание на риски бесконтрольного использования умных устройств как в частном порядке, так и в организациях.

Производители часто устанавливают пароль по умолчанию, не уведомляя об опасности взлома пользователей. Это, по сути, открытая дверь для хакеров. Причем уязвимости игнорируют часто не только неопытные пользователи, но и специалисты служб безопасности крупных компаний. Так через умный термостат в аквариуме казино хакеры взломали локальную сеть и получили доступ к данным о VIP-клиентах. Это только один пример того, как смарт-устройства становятся стартовой точкой хакерской атаки.

Конечно, умные устройства умным рознь. Среди них есть и простенькие с монохромным дисплеем, которые безобидны в плане безопасности (например, чайник с электронным управлением или робот-пылесос). Другие устройства – полноценные микро-ПК с десктопной операционной системой. Они в плане уязвимости не отличаются от любых других компьютеров. Пока устройство не изолировано от остальной инфраструктуры гаджетов (подключено к ним) или хранит аккаунты, оно может быть взломано и использовано для доступа к данным. Пароль по умолчанию делает этот процесс элементарным.

Помимо смены предустановленного пароля на надежный, нужно соблюдать и другие правила информационной безопасности: регулярно обновлять ПО, быть внимательным к уведомлениям систем безопасности, использовать бытовые ИБ-инструменты (антивирус и брандмауэр), да и просто обращать внимание на подозрительную, нетипичную активность девайса (например, увеличение трафика).

В некоторых случаях, правда, никакие меры безопасности не помогут. Иногда производители выдают уязвимость за фичу, специальную возможность (так было с одним из продуктов Xiaomi), иногда просто обманывают (примерно так случилось с телевизорами LG, которые, несмотря на запрет, собирали данные о пользователях). В таком случае покупателю просто стоит решить, насколько он готов смириться с таким самоуправством устройств.

Ведущий аналитик «СёрчИнформ» Алексей Парфентьев