IoTのサイバーリスクを軽減し、解決策を見つける

過去10年間で、新しい分散ネットワークテクノロジーによって可能になった、モノのインターネット（IoT）ランドスケープの前例のない開発が見られました。 マッキンゼー 2025年までに、世界は2010年から400％増加し、500億のネットワークデバイスを所有し、経済に11兆米ドル（10兆ユーロ）を貢献すると推定しています。

近年のこのIoTデバイスの急増は、企業、政府、個人消費者に刺激的な機会を生み出しましたが、緩和を必要とする新たなリスクを生み出しました。 IoTテクノロジーのこのような急速な開発と実装により、脅威と攻撃は、世界中の個人だけでなく組織にとっても明らかな懸念事項です。

Brit Insurance のIoTエキスパート兼テクノロジーリーダーであるAndreaGaglione 、IoTと彼の同僚の潜在的なリスクを調べます、 サイバーアンダーライターのBenMaidmentは、ユーザー、開発者、保険会社がこれらから身を守るために実行できる手順を特定しています。

リスクは何ですか？

重要なのは、IoTに関連するリスクと潜在的なサイバー脆弱性の理解がまだ進化していることです。緩和策とソリューションを実装するには、これらの潜在的なリスクを特定する必要があります。残念ながら、多くの場合、これらの弱点は、侵害またはサイバー攻撃が発生した後にのみ特定されることがますます明らかになっています。

• データの損失

セキュリティとサイバー脅威は、潜在的な「攻撃対象領域」とネットワークエントリポイントのサイズに応じて指数関数的に増大するため、IoTシステムは特に影響を受けやすくなります。最近のデータによると、2019年には266.6億のIoTデバイスがアクティブであり、127の新しいデバイスが毎秒インターネットに接続されています。

これがスケールアップするにつれて、特に最近の注目を集めるデータ侵害とGDPR（一般データ保護規則）規制に関連する罰金に照らして、IoTデバイスがキャプチャ、使用、送信するすべてのデータの管理と保護が重要な課題になります。 。ほとんどのサイバーリスクと同様に、主な懸念事項は、データ、特に顧客および個人データの損失または侵害です。特に脆弱な可能性のある大量の個人データを収集するIoTデバイスの例には、健康データを監視、収集、送信するスマートウェアラブルが含まれます。

• ビジネスの混乱と中断

サプライチェーンとビジネスプロセスがネットワーク化されたデバイスに依存して効率を高めるようになると、企業は攻撃のリスクにさらされます。ハッキングによってデバイスがオフラインになることによる重大なビジネスの中断は、短期的には収益を大幅に減少させ、長期的には評判と信頼を失う可能性があります。

IoTデバイスの脆弱性を悪用してネットワークに侵入することに加えて、悪意のある攻撃者は一連のセキュリティで保護されていないIoTデバイスを利用してデータを迂回させ、分散型サービス拒否（DDoS）攻撃を仕掛けることもできます。 2016年、悪意のある人物が25,000台以上のデジタルビデオレコーダーとCCTVカメラを侵害し、 Dyn のサーバーをダウンさせるDDoS攻撃を開始するために、データを流用しました。 、米国とヨーロッパでインターネットの停止を引き起こし、 Twitter、Netflix、GitHub などの有名なウェブサイトをダウンさせた主要な米国のDNSプロバイダー 、および Reddit 。

• サイバーフィジカル

最後に、IoT（そして実際にはもっと広くサイバー）の新たなリスクはサイバーフィジカルのリスクであり、それによってサイバー攻撃は物理的な損害をもたらす可能性があります。これは、ペースメーカーなどのネットワーク化された医療機器から、自動運転車や高価な産業プロセスにまで及ぶ可能性があります。これらのデバイスの悪意のあるハッキングは、これらの活動を制御することで、費用がかかり、潜在的に物理的な損傷や生命への危険につながる可能性があります。たとえば、昨年は米国食品医薬品局 一部のインスリンポンプはハッカーに対して脆弱であり、ハッカーがリモートでアクセスしてポンプの設定を変更する可能性があることを警告するアラートを発行しました。

どうすればリスクを軽減できますか？

• 設計によるセキュリティとプライバシー

これまでのところ、IoTメーカーにとって、製品を市場に投入する速度とシステムの堅牢性およびセキュリティとの間には妥協点が認識されてきました。 IoTの最初の波で見たように、セキュリティは優先要件とは見なされていませんでしたが、注目を集めるデータ侵害と新しいデータ規制に続いて、プライバシーへの注目が高まっています。

私たちの見解では、セキュリティは新しいIoTデバイスの設計において最も重要であり、新しいデバイスと既存のデバイスの両方のセキュリティを維持および改善するために継続的な対策を講じる必要があります。

• ベストプラクティスのサイバーセキュリティ

個人、企業、公共部門を問わず、ユーザー自身がサイバーの危険性に関してベストプラクティスを採用する責任があり、認識と教育が重要です。組織は、IoTテクノロジーが提供する接続性と効率性に対する要望と、特にそのような製品の開発におけるセキュリティに重点が置かれていないことを考えると、そのような接続性が生み出すリスクとのバランスを取る必要があります。

従来のオペレーティングシステムを管理するのと同じように、個人はIoTに関する企業ポリシーの形成に積極的な役割を果たし、ビジネスが直面している脅威について責任を持って最新の状態に保つ必要があります。これらの対策の多くは、従来のITの第二の性質になっていますが、IoTデバイスを検討する際に徐々に採用され、検討されています。

リスクを軽減する（そしてサイバーインシデントが発生した場合の責任を制限する）ためにユーザーが実行できる簡単な手順は次のとおりです。定期的に更新される強力なパスワードとセキュリティキーを使用する。セキュリティイベントを検出して対応するためのデバイスとシステムの監視。メーカーからのソフトウェアパッチのダウンロードにより、デバイスのセキュリティを継続的に更新します。

保険はどのようなソリューションを提供しますか？

保険会社は、IoTデバイスが危険にさらされ、ビジネスの中断、物理的な損傷、またはデータの盗難につながる場合に、リスクを最小限に抑え、財政的およびその他のサポートを提供するように企業を教育することにより、これらのリスクを軽減する上で重要な役割を果たします。

サイバー保険契約は、データまたはシステムが盗まれたり、損傷したり、侵害されたりした場合に、ファーストパーティおよびサードパーティの財務および評判のコストをカバーすることができます。ファーストパーティの補償には、サイバー犯罪の調査と回復、事業の中断による収入の損失、評判の回復と管理からハッカーに支払われる恐喝の支払いまでの費用が含まれます。第三者の補償には、損害賠償と和解、および違反に起因する罰金から法的に身を守るための費用が含まれます。

サイバー保険の最良の形態は、単なる製品ではなく、企業をコンプライアンスへの道に沿ってさらに前進させ、リスクへのエクスポージャーを最小限に抑えるのに役立つサービスです。ブリットを含むますます多くの保険会社が、ポリシーの一部として多くのサイバー前インシデントサービスを提供しています。クライアントは、リスクを低減するために実装できる手順と計画、インシデント対応計画資料、およびチェックを含むオンラインポータルにアクセスできます。準備のためのリスト。

著者は、テクノロジーリーダーのAndrea Gaglioneと、BritInsuranceのサイバークラスの引受会社であるBenMaidmentです。