Интернет вещей (IoT) обещает открыть новые способы для бизнеса создавать ценности, а организации всех типов уже получают выгоду от новых функциональных возможностей и повышения эффективности. Однако постоянное подключение и обмен данными через ожидаемые 20,4 миллиарда подключенных устройств к 2020 году (Gartner) также открывают новые возможности для компрометации безопасности.
Все чаще подключенные устройства как для личного пользования, так и для бизнеса могут иметь уязвимости, которые используют киберзлоумышленники. Фактически, в устройства IoT, как известно, профессионалы проникают легко. По оценкам NETSCOUT, устройства IoT в среднем могут быть скомпрометированы в течение пяти минут после подключения к Интернету.
Рост числа IoT-устройств привел к тому, что физические и цифровые миры перекрываются, что увеличивает зависимость от устройств для таких важных бизнес-операций, как физическая безопасность, автоматизация зданий, управление энергопотреблением, промышленные процессы и транспорт. В эпоху IoT физические повреждения, такие как разрушение центра обработки данных, остановка машины на производственном объекте или поломка автомобиля, теперь возможны в результате цифровых атак.
Эти новые и более распространенные киберриски IoT предоставляют страховщикам возможность поддержать организации путем повышения осведомленности об управлении рисками и изучения новых продуктов и услуг киберстрахования для обеспечения защиты.
IoT меняет риск
IoT и другие неуправляемые устройства увеличивают подверженность типичным событиям киберпотерь из-за их растущего объема и относительного отсутствия безопасности. Коммодитизация и глобализация также играют роль, поскольку большинство устройств IoT включают в себя длинную и сложную цепочку поставок.
Катастрофические риски, такие как прерывание бизнеса, пожар, взрыв и саботаж, теперь могут быть активированы враждебными киберсубъектами. Злоумышленникам нужна только одна тривиальная уязвимость для входа в сеть, и оттуда им относительно легко взять контроль.
Традиционные инструменты и методы информационной безопасности просто не работают для устройств IoT, частично из-за их разнообразия и потому, что их нельзя легко защитить, поскольку они являются черными ящиками. Безопасность устройств IoT отличается от традиционной корпоративной безопасности во многих отношениях, включая:
Видимость: многие организации не знают, какие устройства находятся в их сети, и если они знают, этого недостаточно: группы безопасности должны получить глубокое представление об устройстве, включая информацию о производителе, модели и подробную информацию об уязвимости встроенного программного обеспечения, которая представляет собой сочетание встроенного в устройство программного обеспечения, приложения, библиотеки и т. д.
Управление уязвимостями. Согласно исследованию, проведенному Finite State , только 1% уязвимостей IoT сообщается о конкретном устройстве, но базовое встроенное ПО часто имеет множество известных распространенных уязвимостей и уязвимостей (CVE), которые может легко увидеть только производитель.
Обнаружение: большинство групп безопасности имеют представление о том, что программное обеспечение работает на традиционных ИТ-устройствах, и их традиционные процессы безопасности построены вокруг контроля поведения пользователя, чтобы минимизировать риск. В эпоху IoT конечные пользователи редко взаимодействуют с устройством, и риск, напротив, скрыт в прошивке устройства. Теперь специализированные модели и ИИ были разработаны специально для уникального поведения устройств IoT для надежного обнаружения атак.
Реакция: Реакция на инциденты на устройствах IoT сегодня практически невозможна, и требуются новые методы для обеспечения возможности очистки после взлома.
Микропрограмма внутри IOT-устройств построена из сложных глобальных цепочек поставок, которые могут включать уязвимости для использования хакерами. Этот новый риск требует нового ответа.
IoT риск и страхование
Традиционные продукты киберстрахования покрывают ответственность за конфиденциальность и безопасность, кибервымогательство, восстановление данных и расходы на реагирование на инциденты В последние годы прерывание бизнеса и непредвиденное прерывание бизнеса как из-за нарушения, так и из-за сбоя системы стали частью киберстрахования. Но для многих страхователей эти покрытия могут вводить в заблуждение и могут не обеспечивать полный объем, необходимый для всех рисков. Руководители все чаще ищут продукты, которые покрывают имущественный ущерб и телесные повреждения, которые приобретают все большее значение в связи с IoT.
Во многих случаях побочные эффекты кибератак, вовлекающих материальные активы, попадают в сферу необоснованного или «скрытого» киберриска. Это кибернетические риски, заложенные в рамках традиционного полиса в отношении имущества или общей ответственности, которые не были сформулированы страховщиками для учета распространения новой технологической эры. Потенциал IoT киберстрахования страховщиков остается в значительной степени неиспользованным, поскольку они должны сначала существенно обновить существующие продукты, чтобы отразить развивающиеся киберриски.
Перестрахование будет играть важную роль в дальнейшем развитии страховых продуктов Cyber IoT. Потенциальная частота и тяжесть IoT-атак могут привести к значительным экономическим потерям, поэтому страховщикам необходимо будет распределить этот риск, чтобы иметь возможность адекватно защитить свой капитал при достаточном обслуживании отрасли. Перестрахование Cyber IoT - это существенная возможность роста как для страховщиков, так и для перестраховщиков.
Согласно Cyon Solutions от Aon, страховщики только начинают включать запросы IoT высокого уровня в обсуждения андеррайтинга - почти исключительно с более крупными, более регулируемыми организациями, которые имеют назначенного главного сотрудника по информационной безопасности (CISO). Это оставляет за кадром малые предприятия и тех, кто менее подготовлен, чтобы сформулировать их положение безопасности предприятия. Финансовый отчет о нематериальных активах Ponemon за 2019 год показал, что только 28% компаний приобретают киберстрахование. В эру Дарвина, где быстрые инновации имеют первостепенное значение для компаний, чтобы оставаться конкурентоспособными, внедрение новых технологий, таких как IoT, опережает планирование и бюджетирование для дополнительного управления рисками.
Управление рисками кибербезопасности IoT
IoT является предпочтительной точкой входа для кибератак. Злоумышленники сегодня имеют огромное преимущество, потому что они знают, как анализировать прошивку IoT и находить тривиальные уязвимости. До тех пор, пока организации не смогут выровнять игровое поле, вся их сеть подвергается риску способами, невообразимыми еще десять лет назад.
До сих пор поставщики кибераналитики смогли предоставить страховщикам дополнительное решение, основанное главным образом на неинвазивном сканировании внешней сетевой инфраструктуры. Эти сканы и собранные из них данные могут быть преобразованы в оценки безопасности и даже использованы для информирования моделей ценообразования и катастроф. Такие модели достигли быстрого прогресса за последние два-три года, и страховщики постоянно полагаются на них для агрегирования и управления капиталом.
Однако устройства IoT могут быть захвачены только при внешнем сканировании, что происходит редко. Возможность сканирования внутренних конечных точек сети, к которым получают доступ устройства IoT, может предложить значительный прорыв в кибераналитике. Это ключ к пониманию риска: получение видимости как для устройств, работающих в сети, так и для встроенного ПО.
Сегодня фирма по кибербезопасности Finite State использует двадцатилетний опыт поддержки Fortune 500 и разведывательного сообщества США, чтобы помочь добиться взаимопонимания с помощью интеллектуальных устройств IoT. Это использует расширенный анализ программ и глубокое обучение для анализа каждого устройства IoT и его встроенного программного обеспечения.
Возможности сканирования IoT-безопасности в сочетании с партнерскими отношениями с поставщиками кибераналитики могут стать началом новой эры прогресса для страховщиков в совершенствовании моделирования, ценообразования и покрытия киберрисков - особенно потому, что они могут покрывать эти риски без полного понимания последствий. Кроме того, новые и актуальные продукты позволят страховщикам стимулировать рост на быстро растущем рынке.
Компании, которые полагаются на IoT, могут подвергаться непредвиденным рискам, которые могут быть не застрахованы сегодня. Страховщики, перестраховщики и их клиенты должны работать вместе, чтобы понимать, смягчать и переносить эти новые сложные риски в мире, который все больше зависит от IoT, для обеспечения возможностей безопасным и надежным способом.
Авторы:
Эмма Кархан, руководитель направления по терроризму и партнерствам в государственном секторе в компании Aon Reinsurance Solutions
Келли Суперчински, руководитель отдела консультативного обслуживания в Северной и Южной Америке в Aon's Reinsurance Solutions
Мэтт Викхаус, генеральный директор Finite State
Перевод с англ. подготовлен порталом Allinsurance.kz