Kuvittele ulkoistavan kaikki arkiset toimistotehtävät - kalenterien hallinta, tarvikkeiden tilaaminen, kokoushuoneiden varaaminen - Alexalle, Amazonin ääniohjatulle virtuaaliassistentille. Amazonin uuden Alexa for Businessin avulla tämä fantasia voi toteutua, mutta mahdollisesti vakavien turvallisuusriskien kustannuksella, sanovat jotkut kyberturvallisuuden tutkijat. Ajattele, yritysten vakoilu ja hakkerointi.
Torstaina Amazon esitteli uuden yritysversion suositusta virtuaaliassistentistaan Alexasta, joka toimii Amazonin Internet-kaiuttimen Echon kanssa. Alexa for Business voi tehdä kaikkea puhelun soittamisesta siihen, milloin sinun pitäisi lähteä lentokentälle.
Valkoinen hattu hakkeri William Caput varoittaa, että Alexa for Business on potentiaalinen turvallisuusriski yrityksille. Yrityksille tunkeutumistestejä tekevä Caput sanoo aina kuuntelevien laitteiden, kuten älytelevisiot ja virtuaaliassistentit lähettävät tietoja takaisin tuotteen emoyhtiölle käytettäväksi esimerkiksi tiedonlouhintaan.
'Vaikuttaa hyvin naiivilta, että yritys harkitsee jotain tällaista, ellei ole olemassa nimenomaista käyttöpolitiikkaa, jonka mukaan tietyntyyppisiä tiedonsiirtoja ei tapahdu', Caput sanoo. 'Ennen kuin käytät sitä, haluat suorittaa tiukan hakkerointitestauksen ja selvittää, mitä kuunnellaan ja mitä lähetetään.'
Amazon kuuntelee
Koska Alexa voidaan integroida IT-resursseihisi, kuten puhelimiin ja kalentereihin, Tim Roddy Fidelis Securitystä sanoo, että osa tiedoista tallennetaan Alexan infrastruktuuriin. Tämä voi tarkoittaa, että osa yrityksen tiedoista on joko Amazonin tallennettu tai siirretty Amazonille.
Caput sanoo, että erityisesti Amazonilla on kannustin kuunnella ja kerätä avainsanoja, joita voidaan sitten käyttää kohdennetussa markkinoinnissa. Wall Street Journa Ilmoitan, että Amazon väittää, että kaiun kaiutin ei lähetä tietoja pilveen, elleivät käyttäjät 'herätä' laitetta käyttämällä sen nimeä - Alexa. Mutta Caput sanoo, että turvallisuusyhteisö ei ole vielä testannut Alexa for Businessia tiukasti, ja mahdolliset riskit, tietoturva-aukot ja haavoittuvuudet ovat tuntemattomia.
Yritysten vakoilu
Yritykset harjoittavat yritysten vakoilua saadakseen jalansijaa kaupoissa tai etuna teknologian kehityksessä, kuten Uber-Waymo itse ajavien autojen liikesalaisuustapaus. Caput sanoo, että langattomat laitteet ovat ihanteellisia työkaluja tähän tarkoitukseen, koska liitetyillä laitteilla on vain vähän suojausprotokollia. 'Kilpailija voi hakkeroida laitteen', Caput sanoo. 'Voin hallita tietokonetta ja käyttää heidän verkkokameraa tai langatonta kaiutinta yleisesti saatavilla olevilla työkaluilla.'
Hallituksen hakkerointi
kuinka vanha on ottavia bourdain
Hallituksen harhauttaminen on myös riski. 'Voit saada kansallisen turvallisuusviraston kuuntelemaan', Caput sanoo. 'Sinulla on koko turvalaite, jonka Ed Snowden paljasti - laitteiden takuuton napauttaminen.'
Vaikka nämä riskit saattavat kuulostaa paranoidilta, kybertutkijana Caput sanoo, että liitetyt laitteet ovat suosittu tapa rikkoa yrityksen turvallisuusprotokollia. 'Se ei ole salaliittoteoria', hän sanoo. 'Olen nähnyt tämäntyyppisiä hakkereita tai olen tehnyt niitä itse esineiden internet-laitteilla.'
Rick McElroy ehdottaa, että yritykset tekevät oman riskianalyysin siitä, onko uuden tekniikan, kuten Alexa for Businessin, tuominen kannattavaa. `` Onko tämän tekniikan arvo suurempi kuin riski? '', Sanoo kyberturvallisuusyrityksen Carbon Blackin turvallisuusstrategi McElroy. 'Jos vastaus on' kyllä ', on pyrittävä yhdessä korjaamaan jatkuvasti päivityksiä, kun päivitykset ovat saatavilla, sekä kouluttamaan työntekijöitä kyberturvallisuuden parhaista käytännöistä.'
