Securitate amenințată? O cameră de supraveghere ne poate accesa datele private

O cameră de supraveghere banală pe care o instalăm în casă ne poate accesa datele private? Candid Wüest, SYMANTEC Security Threat Researcher, știe că există mai multe tipuri de scenarii posibile.

Multe dintre dispozitivele și aplicațiile IoT comunică necriptat sau nu sunt corect securizate. Așa se poate întâmpla ca înregistrările de pe o cameră de supraveghere instalată la noi în casă să fie difuzate către toată lumea pe internet. Televizorul smart poate dezvălui la ce filme te uiți, iar aplicațiile de monitorizare a stării de sănătate pot să arate tuturor prietenilor când o femeie este însărcinată.

Într-un alt posibil scenariu, dispozitivele IoT pot fi folosite ca un cap de pod pentru a ataca rețeaua de acasă. Dacă un frigider inteligent este compromis, atunci un atacator cibernetic poate prelua controlul asupra rețelei și poate divulga și mai multe date.

Se cunosc destule cazuri în care informația a fost transferată nesecurizat. „20% dintre primele 100 de aplicații medicale pe care le-am analizat transmiteau parola în clar. Acest lucru ar permite unui atacator să preia total controlul asupra contului personal al cuiva. Mulți dintre utilizatori nici măcar nu își dau seama că setările-standard de confidențialitate presupun să împărtășești totul cu toată lumea. O brățară inteligentă de fitness a făcut publice toate activitățile utilizatorilor, inclusiv pe cele sexuale, cu timpii înregistrați”, avertizează analistul Symantec.

„Companiile furnizoare de dispozitive IoT adună datele și le analizează, pentru a descoperi caracteristici comune grupului de utilizatori. Pentru ele nu e mare lucru, întrucât este ieftin să stochezi datele. Utilizatorii, pe de altă parte, ar putea pierde controlul datelor care sunt stocate despre ei, dar și urma celor care se folosesc de ele. Dintr-o combinație de eșantioane de date multiple se poate obține un profil detaliat al utilizatorului, care poate fi folosit în scopuri de marketing dirijat, dar și pentru a îmbunătăți oferta de servicii medicale.”

Breșele de securitate

Companiile care au suferit pierderi de date în trecut trebuie să își asume în primul rând pierderea încrederii în brand pe care a suferit-o compania lor – un prejudiciu greu de cuantificat. În al doilea rând, în funcție de legislație, companiile pot fi amendate pentru neglijență și, când se întâmplă un astfel de incident, trebuie să își informeze clienții.

„Din nefericire, companiile nu sunt pregătite pentru un astfel de atac, considerând că lor nu li se poate întâmpla. E obligatoriu ca datele private să fie protejate și e nevoie să existe proceduri de urgență care să intre imediat în aplicare când se petrec astfel de evenimente. Companiile sunt datoare să iasă și să anunțe public acest lucru.”

Candid Wüest deține un master în tehnologie obținut la Institutul Federal Elvețian de Tehnologie / Swiss Federal Institute of Technology (ETH). Face parte din echipa Symantec de monitorizare a securității globale, în cadrul căreia a lucrat în ultimii 9 ani, depășind zona dedicată semnăturilor antivirus. El cercetează noii vectori ai amenințărilor tehnologice, analizează trendurile și structurează noile strategii de atenuare a efectelor amenințărilor. Pentru o perioadă de trei ani, Candid a lucrat ca Virus Analyst în laboratoarele Symantec din Dublin / Irlanda. A publicat diverse articole și a apărut în reviste și emisiuni TV. Vorbește frecvent la conferințe precum VB, RSA sau #days.