Įsivaizduokite, kad visas tas kasdieniškas biuro užduotis - tvarkyti kalendorius, užsisakyti atsargas, rezervuoti posėdžių sales - perduodate „Alexa“, „Amazon“ balsu valdomam virtualiam asistentui. Su „Amazon“ naujuoju „Alexa for Business“ ši fantazija gali išsipildyti, tačiau potencialiai dėl rimtų saugumo pavojų, sako kai kurie kibernetinio saugumo tyrėjai. Pagalvok, apie įmonių šnipinėjimą ir įsilaužimus.
Ketvirtadienį „Amazon“ pristatė naują savo populiaraus virtualaus asistento „Alexa“ versiją, kuri veikia su „Internet“ valdomu garsiakalbiu „Echo“. „Alexa for Business“ gali padaryti viską - nuo telefono skambučių iki supratimo, kada turėtumėte išvykti į oro uostą.
Tačiau įsilaužėlis į baltą kepurę Williamas Caputas įspėja, kad „Alexa for Business“ yra potenciali rizika įmonėms. Skverbimosi testus įmonėse atliekantis Caputas sako, kad visada klausantys prietaisai, pvz išmanieji televizoriai ir virtualūs padėjėjai perduoda duomenis produkto pagrindinei įmonei, kad jie būtų naudojami tokiems dalykams kaip duomenų gavyba.
„Verslui atrodo labai naivu apsvarstyti galimybę naudoti kažką panašaus, nebent būtų aiški naudojimo politika, kurioje teigiama, kad tam tikri duomenų perdavimo tipai neįvyks“, - sako Caputas. „Prieš naudodamiesi, norėtumėte atlikti griežtą įsilaužimo bandymą ir išsiaiškinti, ko klausomasi ir kas siunčiama“.
„Amazon“ klausymasis
Kadangi „Alexa“ gali būti integruota į jūsų IT turtą, pvz., Telefonus ir kalendorius, „Fidelis Security“ narys Timas Roddy sako, kad dalis duomenų bus saugoma „Alexa“ infrastruktūroje. Tai gali reikšti, kad kai kuriuos įmonės duomenis „Amazon“ saugo arba perduoda.
Caputas sako, kad ypač „Amazon“ turi paskatą klausytis ir rinkti raktinius žodžius, kuriuos vėliau galima naudoti tikslinėje rinkodaroje. Volstryto kelionė Aš pranešu, kad „Amazon“ teigia, kad „Echo“ garsiakalbis nesiunčia duomenų į debesį, nebent vartotojai „pažadina“ įrenginį naudodami jo pavadinimą - „Alexa“. Tačiau „Caput“ teigia, kad saugos bendruomenė dar nėra griežtai išbandžiusi „Alexa for Business“, o galimi pavojai, saugumo spragos ir pažeidžiamumai nėra žinomi.
Įmonių šnipinėjimas
Įmonės vykdo įmonių šnipinėjimą, kad gautų pranašumų dėl sandorių ar pranašumų dėl technologinės pažangos, pavyzdžiui, „Uber-Waymo“ savarankiškai vairuojančių automobilių komercinės paslapties atvejis. Caputas sako, kad belaidžiai įrenginiai yra idealios priemonės šiam tikslui išnaudoti, nes prijungti įrenginiai turi minimalius saugos protokolus. „Konkurentas gali nulaužti įrenginį“, - sako Caputas. „Aš galiu valdyti kompiuterį ir pasiekti jų interneto kamerą ar belaidį garsiakalbį naudodamas viešai prieinamas priemones.“
Vyriausybės įsilaužimai
kokia yra Lady Gagos tautybė
Vyriausybės šnipinėjimas taip pat yra rizika. 'Galite priversti Nacionalinę saugumo agentūrą klausytis', - sako Caputas. 'Jūs turite visą apsaugos aparatą, kurį atskleidė Edas Snowdenas - be pagrindo paliesti prietaisus.'
Nors ši rizika gali atrodyti paranojiškai, kaip kibernetinių tyrimų tyrinėtojas, Caputas sako, kad prijungti įrenginiai yra palankus būdas pažeisti įmonės saugumo protokolus. „Tai nėra sąmokslo teorija“, - sako jis. 'Aš mačiau tokio tipo įsilaužimus arba pats juos padariau naudodamasis daiktų interneto įrenginiais.'
Rickas McElroy'as siūlo įmonėms atlikti savo rizikos analizę, ar verta į naują planą įtraukti tokią technologiją kaip „Alexa for Business“. „Ar šios technologijos vertė nusveria ar kompensuoja riziką?“, - sako McElroy, kibernetinio saugumo firmos „Carbon Black“ saugumo strategas. „Jei atsakymas yra„ taip “, reikėtų stengtis nuolat pataisyti, kai yra atnaujinimų, ir šviesti darbuotojus apie geriausią kibernetinio saugumo praktiką.“
