IoT-süsteemide turvalisuse riskijuhtimine

Date

2018

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Alates 2012. aastast on ülemaailmne infastruktuuri üksuste arv (The Internet of Things) jõudsalt kasvanud üle kahe korra. Koos selle numbriga on ka kasvanud ka võimalikud riskid ning ohud, mis mõjutavad süsteemi turvalisust. Tulemuseks on suur hulk isiklikke andmeid kas varastatud või kahjustatud. Vastavalt allikatele "Third Quarter, 2016 State of the Internet / Security Report" ja "Akamai Intelligent Platform", on DdoS Q3 rünnakute arv suurenenud 2016 aastal 71% võrreldes aastaga 2015. Kõige suurem DdoS fikseeritud rünnakutest oli 623 Gbps rünnak. Kõik need faktid tõestavad, et Iot süsteemis on veel siiamaani probleeme isikuandmete turvalisusega. Isklikud andmed on ohtude suhtes haavatavad. Käesolev töö ühendab Iot raamastikus turvalisuse riskijuhtimine teadmised olemasoleva praktikaga. Raamastiku eesmärgiks on tugevdada Iot süsteemi nõrku osi ning kaitsta isiklikke andmeid. Pakume välja esialgse igakülgse võrdlusmudeli juhtkontrolli turvariskideks IoT süsteemides hallatavate ja kontrollitavate info- ja andmevarade jaoks. Infosüsteemide turvalisuse riskijuhtimise valdkonna domeeni mudeli põhjal uurime, kuidas avatud veebirakenduse turvalisuse projektis määratletud turvaauke ja nende vastumeetmeid võiks vaadelda IoT kontekstis. Selleks, et illustreerida etalonmudeli rakendamist, katsetatakse raamistikku IoT-süsteemil. Sellesse süsteemi kuuluvad Raspberry Pi 3, sensorid ning kaugandmete ladustamine.
Since 2012 the number of units in global infrastructure for the information society (The Internet of Things) has grown twice. With this number also has grown the number of possible threats and risks, which influence security on all levels of the system. As a result, a huge amount of users' data was stolen or damaged. According to Third Quarter, 2016 State of the Internet / Security Report based on data gathered from the Akamai Intelligent Platform the total number of DDoS attacks in Q3 2016 increased in 71\\% compared to Q3 2015. With 623 Gbps data transfer attack it was largest DDoS ever and this fact will only increase the number of future attack events. All these facts reveal a problem that a lot of IoT systems are still unsecured and users' data or personal information stay vulnerable to threats. The thesis combines knowledge of Security Risk Management with existing practice in securing in IoT into a framework, which aim is to cover vulnerabilities in IoT systems in order to protect users' data. We propose an initial comprehensive reference model to management security risks to the information and data assets managed and controlled in the IoT systems. Based on the domain model for the information systems security risk management, we explore how the vulnerabilities and their countermeasures defined in the open Web application security project could be considered in the IoT context. To illustrate the applicability of the reference model we test the framework on self-developed IoT system represented by Raspberry Pi 3 interconnected with sensors and remote data storage.

Description

Keywords

Citation