Publikováno: 11. 4. 2015
V tomto white paper-u organizace ISACA se autoři zamýšlejí nad novým fenoménem – IoT (Internet of Things) a jeho přínosem pro byznys, ale také o rizicích s ním spojených.
V úvodní kapitole zdůrazňují, že tato revoluce již probíhá a že pokud se k ní nepostavíme čelem a nepodchytíme jak nové příležitosti pro byznys, tak i rizika a vzájemně je nevybalancujeme, hrozí dopady “mimo komfortní zónu zákazníka”.
Kapitola Co je IoT? se white paper pokouší o definici IoT, definuje ji jako fyzické objekty se zabudovanými síťovými a výpočetními schopnostmi, které komunikují s jinými objekty přes síť. Ta síť nemusí být nezbytně Internet. Příklady již zavedených objektů IoT jsou třeba defibrilátory, inzulínové pumpy, diagnostické přístroje, ale třeba i zasíťované automobily, domácí spotřebiče či nositelná elektronika.
V kapitole Maturity and Adoption jsou zajímavé údaje IDC, třeba že již v roce 2014 měl IoT velikost 190 miliard zařízení a růst je odhadován 8% za rok. IoT do firmy může přicházet různými cestami – rizika zařízení použitých v novém systému pro řízení zásob budou asi správně ošetřena, ale použití chytrých (zasíťovaných) detektorů kouře nebo čidel teploty, nákup nových firemních vozů s pokročilou výpočetní technikou na palubě nemusí být IT oddělením vůbec zaznamenáno. Autoři naznačují, že příchod IoT lze obtížností přirovnat k příchodu cloud computingu (se kterým ještě dnes některé organizace bojují). Přínosy IoT jsou již viditelné, ale na správné podchycení není mnoho času, vlna většího nástupu IoT je před námi. V kapitole Risk and Risk Mitigation se v dokumentu dozvíme, že je potřeba použít “holistický” risk management – vybalancovat nové rizika s potenciálním přínosem byznysu. Kapitola uvádí příklady útoků na IoT, např. malware v systému letounu Spanair 5022 (http://www.nbcnews.com/id/38790670/ns/technology_and_science-security/), který přispěl k jeho havárii, ukázky útoků na řídící systémy automobilů, kde prokázaly možnost zablokovat brzdy nebo soud s výrobcem dětských chůviček, které umožňovaly neautorizované pozorování dětí v postýlce. V závěrečných kapitolách autoři white paper-u opakují operační a technická rizika a nastiňují otázky, které bychom si měli klást před nasazením IoT a také nám dávají pár rad co dělat a nedělat (které nejsou ale pro zkušeného risk manažera celkem nijak objevné – např. analyzujte potenciální dopad na soukromí, zapojte všechny zainteresované strany a nasazení plánujte).
White paper nepřináší žádné objevné myšlenky nebo metodiky, spíše upozorňuje, že bychom se měli IoT začít zabývat dřív, než bude pozdě.
Internet of Things – Risk and Values Considerations (An ISACA Internet of Things Series White Paper)
Ke stažení pro zaregistrované – členy ISACA – zde: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/internet-of-things-risk-and-value-considerations.aspx
Štítky: Ivan Volný
Autor:: Kateřina Mrkvičková