Представьте, что все эти рутинные офисные задачи - управление календарями, заказ расходных материалов, резервирование конференц-залов - передаются на аутсорсинг Alexa, виртуальному помощнику Amazon с голосовым управлением. С новой Amazon Alexa for Business эта фантазия может стать реальностью, но потенциально за счет серьезных рисков безопасности, как утверждают некоторые исследователи кибербезопасности. Думаю, корпоративный шпионаж и взломы.
В четверг Amazon дебютировал со своей новой корпоративной версией популярного виртуального помощника Alexa, который работает с интернет-динамиком Amazon Echo. Alexa for Business может делать все: от телефонных звонков до определения того, когда вам следует отправиться в аэропорт.
Но белый хакер Уильям Капут предупреждает, что Alexa for Business представляет потенциальную угрозу безопасности для компаний. Кэпут, который проводит тесты на проникновение в компаниях, говорит, что всегда слушающие устройства, такие как умные телевизоры и виртуальные помощники, передают данные обратно в компанию-учредитель продукта, чтобы использовать их для таких вещей, как интеллектуальный анализ данных.
«Для бизнеса кажется очень наивным рассматривать возможность использования чего-то подобного, если не существует явной политики использования, в которой говорится, что определенные типы передачи данных не будут происходить», - говорит Кэпут. «Прежде чем использовать его, вы должны провести тщательное хакерское тестирование и выяснить, что слушают, а что отправляют».
Амазонка слушает
Поскольку Alexa может быть интегрирован с вашими ИТ-активами, такими как телефоны и календари, Тим Родди из Fidelis Security говорит, что некоторые данные будут храниться в инфраструктуре Alexa. Это может означать, что некоторые данные компании либо хранятся, либо передаются на Amazon.
Кэпут говорит, что у Amazon, в частности, есть стимул прислушиваться и собирать ключевые слова, которые затем можно использовать в целевом маркетинге. В Wall Street Journa Я сообщает, что Amazon утверждает, что динамик Echo не отправляет данные в облако, пока пользователи не «разбудят» устройство, используя его имя - «Alexa». Но Кэпут говорит, что Alexa for Business еще не была тщательно протестирована сообществом безопасности, и потенциальные риски, дыры в безопасности и уязвимости неизвестны.
Корпоративный шпионаж
Компании проводят корпоративный шпионаж, чтобы получить преимущество в сделках или технологических достижениях, таких как Uber-Waymo Дело о коммерческой тайне беспилотного автомобиля. Кэпут говорит, что беспроводные устройства являются идеальным инструментом для этой цели, поскольку подключенные устройства имеют минимальные протоколы безопасности. «Конкурент может взломать устройство», - говорит Капут. «Я могу взять под контроль компьютер и получить доступ к его веб-камере или беспроводному динамику с помощью общедоступных инструментов».
Государственный взлом
какой рост у джинни лавалле
Слежка со стороны правительства также представляет собой риск. «Вы можете попросить Агентство национальной безопасности подслушивать», - говорит Капут. «У вас есть весь аппарат безопасности, который раскрыл Эд Сноуден - прослушивание устройств без санкции».
Хотя эти риски могут показаться параноидальными, как кибер-исследователь, Кэпут говорит, что подключенные устройства являются предпочтительным способом взлома протоколов безопасности компании. «Это не теория заговора, - говорит он. «Я видел подобные взломы или сам проделывал их с помощью устройств с Интернетом вещей».
Рик МакЭлрой предлагает компаниям провести собственный анализ рисков относительно того, стоит ли внедрять новую технологию, такую как Alexa for Business. «Перевешивает ли ценность этой технологии риск или нивелирует его?» - говорит МакЭлрой, стратег по безопасности в компании Carbon Black, занимающейся кибербезопасностью. «Если ответ« да », то следует прилагать согласованные усилия для постоянного исправления, когда будут доступны обновления, а также для обучения сотрудников передовым методам кибербезопасности».