Представете си, че всички тези светски офис задачи - управление на календари, поръчка на консумативи, резервиране на стаи за възлагане - се възлагат на Alexa, гласово активиран виртуален асистент на Amazon. С новата Alexa за бизнеса на Amazon тази фантазия може да се сбъдне, но потенциално за сметка на сериозни рискове за сигурността, казват някои изследователи в областта на киберсигурността. Помислете, корпоративен шпионаж и хакове.
В четвъртък Amazon дебютира новата си корпоративна версия на популярния виртуален асистент Alexa, който работи с високоговорителя на Amazon Echo. Alexa for Business може да направи всичко - от телефонни обаждания до избора кога трябва да заминете за летището.
Но хакерът на бялата шапка Уилям Капут предупреждава, че Alexa for Business е потенциален риск за сигурността на компаниите. Капут, който провежда тестове за проникване на компании, казва, че устройствата, които винаги слушат, като интелигентни телевизори и виртуални асистенти, предават данни обратно на компанията майка на продукта, за да се използват за неща като извличане на данни.
'Изглежда много наивно за бизнеса да обмисли използването на подобно нещо, освен ако няма изрична политика за използване, която гласи, че определени видове предаване на данни няма да се случат', казва Капут. „Преди да го използвате, бихте искали да проведете строг тест за хакерство и да разберете какво се слуша и какво се изпраща.“
Amazon Listening In
Тъй като Alexa може да бъде интегрирана с вашите ИТ активи като телефони и календари, Тим Роди от Fidelis Security казва, че някои данни ще се съхраняват в инфраструктурата на Alexa. Това може да означава, че някои фирмени данни се съхраняват от или се предават на Amazon.
Caput казва, че по-специално Amazon има стимул да слуша и да събира ключови думи, които след това могат да бъдат използвани в целевия маркетинг. The Журнал от Уолстрийт Съобщавам, че Amazon твърди, че високоговорителят Echo не изпраща данни към облака, освен ако потребителите не „събудят“ устройството, използвайки името му - „Alexa“. Caput казва, че Alexa for Business все още не е тествана стриктно от общността за сигурност и потенциалните рискове, дупки в сигурността и уязвимости са неизвестни.
Корпоративен шпионаж
Компаниите провеждат корпоративен шпионаж, за да получат крачка в сделките или да постигнат напредък в технологичния напредък, като например Uber-Waymo дело със самоуправляваща се търговска тайна. Caput казва, че безжичните устройства са идеални инструменти за използване за тази цел, тъй като свързаните устройства имат минимални протоколи за сигурност. „Конкурент може да хакне устройството“, казва Капут. „Мога да контролирам компютър и да осъществя достъп до тяхната уеб камера или безжичен високоговорител с публично достъпни инструменти.“
Правителствено хакване
на колко години е Отавия Бурдейн
Правителственото подслушване също е риск. „Можете да накарате Агенцията за национална сигурност да слуша“, казва Капут. 'Разполагате с целия апарат за сигурност, който Ед Сноудън разкри - безпроблемното подслушване на устройства.'
Въпреки че тези рискове могат да звучат параноично, като кибер изследовател, Caput казва, че свързаните устройства са предпочитан начин за нарушаване на протоколите за сигурност на компанията. „Това не е теория на конспирацията“, казва той. „Виждал съм такива видове хакове или съм ги правил сам с устройства за интернет на нещата.“
Рик Макълрой предлага на компаниите да извършат собствен анализ на риска дали си струва да внедрят нова технология като Alexa for Business. „Стойността на тази технология надхвърля ли или компенсира риска?“, Казва Макелрой, стратег по сигурността в Carbon Black, фирма за киберсигурност. „Ако отговорът е„ да “, тогава трябва да се полагат съгласувани усилия за непрекъснато закърпване, когато има налични актуализации, както и за обучение на служителите за най-добрите практики в областта на киберсигурността.“
