Jika perusahaan Anda membuat perangkat “pintar”, Anda sebaiknya membaca tentang penyelesaian Tapplock dengan Federal Trade Commission (FTC). Ini adalah contoh lain mengapa perusahaan di bidang Internet of Things (IoT) perlu memikirkan privasi dan keamanan saat merancang produk yang terhubung.

Taplock, Inc. Ini adalah perusahaan Internet of Things yang menjual kunci yang terhubung ke internet dan dilengkapi sidik jari, yang disebut kunci pintar. Kunci pintar berinteraksi dengan aplikasi yang memungkinkan pengguna mengunci dan membuka kunci pintar mereka saat berada dalam jangkauan Bluetooth. Tapplock mengiklankan kunci pintarnya sebagai “desain yang tidak dapat dipecahkan” dan “berani.” kuat. Believes.” Tapplock juga mengatakan pihaknya mengambil “tindakan pencegahan yang wajar” dan mengikuti “praktik terbaik industri” untuk melindungi informasi pribadi.

Menurut keluhan FTC, kunci pintar Tapplock tidak aman. Faktanya, seorang peneliti mampu membukanya hanya dalam hitungan detik dengan membuka tutup panel belakangnya. Para peneliti juga menemukan beberapa kerentanan yang bisa dihindari Tapplock dengan langkah-langkah sederhana dan berbiaya rendah. Misalnya:

  • Kerentanan di Tapplock API memungkinkan peneliti melewati otentikasi akun dan mendapatkan akses penuh ke semua akun pengguna Tapplock. Ini termasuk nama pengguna, alamat email, foto profil, riwayat lokasi, dan lokasi geografis pasti smart lock.
  • Kerentanan lain memungkinkan peneliti mengunci dan membuka kunci pintar Tapplock di dekatnya. Mengapa? Tapplock tidak mengenkripsi aliran data antara kunci dan aplikasi. Sehingga peneliti dapat dengan mudah mengidentifikasi dan menghasilkan kunci yang diperlukan untuk membuka gembok tersebut.
  • Kerentanan ketiga mencegah pengguna untuk secara efektif mencabut akses ke smart lock mereka setelah mereka memberikan akses kepada pengguna lain.

Pengaduan FTC yang terdiri dari dua bagian tersebut menuduh bahwa Tapplock terlibat dalam tindakan atau praktik penipuan yang melanggar Bagian 5 Undang-Undang FTC dengan memberikan pernyataan palsu bahwa: (1) bahwa kunci pintarnya aman dan (2) bahwa Tapplock melakukan tindakan pencegahan yang wajar dan mengikuti praktik Industri terbaik. Praktik untuk melindungi informasi pribadi konsumen.

Penyelesaian FTC melarang Tapplock membuat pernyataan yang menipu tentang keamanan perangkat atau privasi informasi pribadi. Hal ini juga mengharuskan Tapplock untuk menerapkan program keamanan yang komprehensif, termasuk pelatihan karyawan. Terakhir, perusahaan harus mendapatkan evaluasi pihak ketiga setiap dua tahun, dan harus melakukan sertifikasi kepatuhan setiap tahunnya.

Jika bisnis IoT Anda ingin menghindari kesalahan serupa, berikut beberapa hal yang perlu diingat:

  • Terapkan “Keamanan berdasarkan Desain”. Bangun keamanan pada produk Anda terlebih dahulu. Lakukan pengujian kerentanan dan penetrasi sebelum peluncuran produk.
  • Mendorong budaya keamanan. Buat standar keamanan tertulis dan tunjuk eksekutif senior yang bertanggung jawab atas keamanan produk. Latih karyawan untuk mengenali kelemahan dan berikan penghargaan jika mereka angkat bicara.
  • Rancang produk Anda dengan mempertimbangkan autentikasi. Otentikasi adalah suatu keharusan di IoT. Dengan perangkat yang terhubung, kegagalan otentikasi akan memungkinkan akses tidak hanya ke perangkat, tetapi juga ke jaringan yang terhubung dengannya.
  • Manfaatkan apa yang telah dipelajari para ahli tentang keamanan. Misalnya, teknik enkripsi standar tersedia untuk data yang dikirimkan dan disimpan oleh perangkat. Kapan pun aplikasi Anda mengirimkan nama pengguna, sandi, kunci API, atau data penting lainnya, gunakan enkripsi transport.
  • Lindungi antarmuka antara produk Anda dan perangkat atau layanan lain. Kelemahan keamanan pada titik di mana layanan berkomunikasi dengan perangkat Anda dapat memberikan peluang bagi penipu untuk memasuki jaringan Anda. Inilah sebabnya mengapa masing-masing antarmuka ini harus diamankan.

Untuk panduan lebih lanjut, lihat Komunikasi Mikro: Membangun Keamanan dalam Internet of Things dan Pengembang Aplikasi: Memulai dengan Keamanan.