物聯網黑客造成的經濟損失有多少?
物聯網黑客讓公司損失了大量金錢。物聯網黑客的總體損失取決於受影響裝置的數量、發現問題的速度以及問題持續的時間而不同。然而,加州大學伯克利分校的研究試圖量化物聯網黑客對運營商和消費者造成的損失,它側重於涉及物聯網裝置的分散式拒絕服務(DDoS)攻擊。無論是來自DDoS還是其他攻擊媒介,代價都可能是數十萬美元。
在2016年的一次DDoS攻擊中,安全攝像頭、連網錄影機是受影響最多的物聯網裝置,這一事件導致KrebsOnSecurity網站癱瘓了77個小時,並且由於消費者裝置的功耗和頻寬消耗導致消費者損失超過323,000美元。
攻擊損害收入
另一項針對美國小型企業使用物聯網的研究發現,物聯網漏洞造成了顯著的收入損失。該調查對來自19個行業的大約400名IT領導者進行了調查,發現48%的公司至少經歷過一次物聯網安全漏洞。
此外,研究表明,在收入低於500萬美元的公司中,物聯網黑客造成的損失佔年總收入13.4%。對於較大規模的公司來說,損失高達數千萬美元。
同樣重要的是要認識到,安全錯誤在公司中很常見。使得不安全的密碼、被遺忘的安全程式和缺乏安全策略會導致各種網路安全攻擊。儘管如此,為此類攻擊做好準備可以最大限度地降低發生這種攻擊的風險。
黑客攻擊情境和攻擊媒介
自從幾年前烏克蘭電網遭到攻擊,迫使該國部分地區陷入黑暗以來,人們一直緊張地想知道這樣的襲擊會對像美國這樣人口眾多,依賴數字的國家造成什麼影響。
瞭解停電的平均損失非常有用。根據2015年的資料,電氣故障可以使運營商和下游企業每天損失超過179,000美元。特別是依賴電力的地方,如醫療保健機構,其損失可能是平均水平的三倍以上。
根據Ponemon Institute / Emerson Network Power報告,醫療保健機構每次停電的平均損失為690,000美元,加上潛在的生命損失,這種計算更是無法估量。----彼得·馬隆尼(微電網知識)
研究表明,製造商受此類攻擊的影響最大。即使是一次短暫的裝配線停機,也會讓工廠經營者損失金錢——或者如果機器在操作員不知情的情況下被損壞,那麼就會在機器損壞發生之前就開始損失金錢。
兩種假設情境可能讓被黑客入侵的物聯網裝置危及能源網路。第一種是侵入並同時啟用與公用事業相關的物聯網裝置,從而使電網不堪重負並引發停電。
黑客也很有可能採取不那麼直接的方法,對大量裝置進行黑客攻擊,並對它們進行輕微控制,以至於每個節點的能源使用量都在增加,但總體來說卻沒有人注意到。這種攻擊的長期影響可能會帶來重大系統性挑戰 ——更不用說收入損失了。
多方攻擊
正如網路安全研究人員指出的那樣,物聯網裝置令人不安的一點是,網路犯罪分子可能會影響多個安全性差的物聯網裝置,對每一個裝置造成損害,並且越來越難以找到根本問題。而製造商經常推遲釋出安全補丁或者不優先考慮製造安全裝置。
物聯網裝置相對較新,製造商缺乏工程設計經驗,此外,物聯網是一個快速發展的行業,其目標是在競爭對手提供類似產品之前搶先發布最新、最強大互聯裝置。這種心態意味著安全成為事後想法,許多公司只考慮是否發生了大量黑客攻擊。
嚴重的黑客攻擊會抑制行業發展
2018年8月公佈的統計資料顯示,全球有超過170億臺聯網裝置。考慮到物聯網市場相對較新,採用率令人欣喜,這表明人們已經為物聯網裝置製造商的夢想做好了準備。然而,大規模令人沮喪的黑客攻擊可能會讓物聯網技術蒙上陰影。
2018年3月,當Alexa智慧音箱無端發笑時,使用者被嚇壞了。一些亞馬遜 Echo 智慧音箱使用者或其他內嵌語音助理 Alexa 功能的裝置使用者都曾在推特和論壇上發文抱怨,聲稱他們的裝置會自發性大笑,但他們並沒有啟動裝置也沒有對裝置下達什麼指令。隨後,亞馬遜很快修復了引起咯咯笑聲的Bug缺陷。
此外,人們出於惡意原因使用了物聯網裝置,例如在英國的一個案件中,指控丈夫通過壁掛式iPad監視與他分居的妻子。不過,他爭辯說,他只使用應用程式來改變電視音量和燈光。
在同樣場景中,網路入侵者不一定需要黑客知識來進行網路訪問。例如,如果雙方一旦關係破裂,房主沒有改變應用程式密碼,心煩意亂的前任或親戚可以遠端登入並從遠處控制連網裝置。這種可能性給潛在家庭虐待手段帶來了一個新的,令人擔憂的維度。
如果物聯網裝置經常與令人不安的後果相關聯,人們可能會認為它們不值得購買,這樣的後果將抑制消費者在物聯網裝置上的支出。
這些例子說明了為什麼人們不應該僅僅將物聯網黑客視為“有朝一日”可能發生的事情,嚴重的黑客行為已經發生。專家表示,更嚴重的問題可能即將出現,現在是硬體和軟體行業領導者面對這些系統性風險並讓終端使用者放心的時候了。