Dark Web to miejsce, gdzie różne grupy kupują i sprzedają różne produkty i usługi, które nie zawsze (a nawet często) nie są legalne, w tym... biznesowy model przestępstwa. W poprzednich latach w tym miejscu można było zakupić oprogramowanie ransomware. Zdaniem ekspertów w roku 2022 hakerzy byli skupieni na urządzeniach IoT - Internet of Things (Internet rzeczy).
Specyfika ataków hakerów ewoluuje - począwszy od tych, które mają na celu kradzież danych, do ataków, które mogą wpłynąć na codzienne życie. Urządzenia IoT mogą być punktami wejścia dla ataków na infrastrukturę krytyczną, taką jak rurociągi czy sieci energetyczne lub mogą być konkretnymi celami przestępców, jak w przypadku samochodów lub urządzeń medycznych zawierających oprogramowanie. Przez ostatnią dekadę IoT pojawia się niemal wszędzie. Obecnie na świecie tego typu urządzeń jest około 17 miliardów, od drukarek po urządzenia do otwierania drzwi garażowych, a każde z nich zawiera oprogramowanie, do którego można się włamać. Mario Greco, dyrektor generalny ubezpieczyciela Zurich Insurance Group, stwierdził nawet, że cyberataki mogą stanowić większe zagrożenie dla ubezpieczycieli niż pandemie i zmiany klimatyczne.
Przykłady są widoczne gołym okiem. W lutym zeszłego roku Toyota wstrzymała działalność w jednej ze swoich fabryk z powodu cyberataku. W kwietniu celem była sieć energetyczna Ukrainy. W maju port w Londynie został dotknięty cyberatakiem. Nastąpiło to po roku 2021, w którym doszło do poważnych ataków na infrastrukturę krytyczną w USA oraz przerwania zaopatrzenia w energię przez Colonial Pipeline. Niektórzy uważają, że grupa przestępców, być może powiązana z zagranicznym rządem może wymyślić sposób, jak przejąć kontrolę nad wieloma rzeczami naraz - na przykład samochodami lub urządzeniami medycznymi. Niezałatane luki w IoT mogą potencjalnie ułatwić to zadanie. Eksperci alarmują, że może to być kwestią czasu, kiedy ktoś będzie miał ukierunkowaną intencję, by taki atak przeprowadzić. Niewykluczone, że mogą to być pieniądze od zleceniodawcy. Co można w tej sytuacji zrobić? Oprócz szybkiego reagowania na ataki, jedyną odpowiedzią na to rosnące w siłę zagrożenie jest ciągłe rozwijanie innowacyjnych form obrony.
Branża cyberbezpieczeństwa podnosi poprzeczkę. Firmy, w tym ForeScout i Phosphorus, koncentrują się na bezpieczeństwie Internetu rzeczy, które kładzie duży nacisk na ciągłą inwentaryzację "punktów końcowych", czyli miejsc, w których nowe urządzenia łączą się z siecią. Ale jednym z kluczowych problemów związanych z bezpieczeństwem Internetu rzeczy jest to, że nie ma efektywnego procesu aktualizowania urządzeń za pomocą łatek, ponieważ odkrywane są nowe luki w zabezpieczeniach. Wielu użytkowników jest przyzwyczajonych do pobierania aktualizacji i poprawek na komputery i telefony - ale nawet w tych przypadkach znaczna liczba użytkowników nie zawraca sobie głowy aktualizacją. Problem jest znacznie gorszy w IoT: kto myśli o aktualizacji swojego mechanizmu otwierania drzwi garażowych? Niewiele urządzeń IoT ma system do aktualizacji kodu. Ponieważ wyzwania te są nowe i obejmują różne branże, wytyczne i przepisy w USA pozostają jednym wielkim chaosem. To sprawiło, że wiele kwestii związanych z cyberbezpieczeństwem IoT pozostawiono konsumentom i firmom z różnych sektorów.
Przykładowo w 2020 roku Kongres USA przekształcił obowiązujące w tym zakresie wytyczne w prawo, ale tylko dla firm dostarczających rządowi USA urządzenia IoT. Rzecznik National Institutes of Standards and Technology mówi, że jest to jedyne prawo krajowe, o którym instytut wie. Istnieją również przepisy stanowe i branżowe, brakuje jednak przejrzystości i ogólnokrajowej strategii. Ponieważ coraz więcej hakerów atakuje sferę fizyczną, celem są również samochody. Celem takiego ataku jest kradzież, w której atakujący wykorzystują systemy dostępu bezkluczykowego, ale także ataki na poufne informacje przechowywane obecnie w samochodach, takie jak mapy i dane kart kredytowych. Kiedy hakerzy zidentyfikują lukę w zabezpieczeniach i sposób jej zdalnego wykorzystania, mogą powtórzyć atak na inne pojazdy. IoT to cenna zdobycz technologii, ale niesie za sobą potężne brzemię odpowiedzialności za gorszą jej stronę, o czym ustawodawcy powinni pamiętać.
