Imagineu subcontractar totes aquestes tasques mundanes d’oficina (administració de calendaris, comanda de subministraments, reserva de sales de reunions) a Alexa, l’assistent virtual activat per veu d’Amazon. Amb el nou Alexa per a empreses d’Amazon, aquesta fantasia es pot fer realitat, però potencialment a costa, segons alguns investigadors de ciberseguretat, de greus riscos de seguretat. Think, espionatge corporatiu i pirates informàtics.
Dijous, Amazon va estrenar la seva nova versió empresarial del popular assistent virtual Alexa, que funciona amb l’altaveu compatible amb Internet Amazon, Echo. Alexa for Business pot fer de tot, des de trucades telefòniques fins a saber quan hauríeu de marxar a l’aeroport.
Però el pirata de barrets blancs William Caput adverteix que Alexa for Business és un risc potencial de seguretat per a les empreses. Caput, que realitza proves de penetració en empreses, diu que sempre hi ha dispositius d’escolta televisors intel·ligents i els assistents virtuals, retransmeten dades a l'empresa matriu d'un producte per utilitzar-les en coses com la mineria de dades.
'Sembla molt ingenu que una empresa es plantegi utilitzar alguna cosa així, tret que hi hagi una política d'ús explícita que estableixi que no es produiran determinats tipus de transmissió de dades', diu Caput. 'Abans d'utilitzar-lo, voldríeu fer proves de pirateig rigoroses i esbrinar què s'escolta i què s'envia'.
Amazon escolta a
Atès que Alexa es pot integrar amb els vostres recursos informàtics, com ara telèfons i calendaris, Tim Roddy de Fidelis Security diu que algunes dades s’emmagatzemaran a la infraestructura d’Alexa. Això podria significar que algunes dades de l'empresa són emmagatzemades o transmeses a Amazon.
Caput diu que Amazon, en particular, té incentius a escoltar i recopilar paraules clau que després es puguin utilitzar en màrqueting específic. El Wall Street Journa Informo que Amazon afirma que l'altaveu Echo no envia dades al núvol tret que els usuaris 'activin' el dispositiu mitjançant el seu nom: 'Alexa'. Però, Caput diu que Alexa for Business encara no ha estat provada rigorosament per la comunitat de seguretat i que es desconeixen els riscos potencials, els buits de seguretat i les vulnerabilitats.
Espionatge corporatiu
Les empreses fan espionatge corporatiu per obtenir avantatges en les ofertes o un avantatge en els avenços tecnològics, com ara Uber-Waymo cas secret comercial d'automòbils amb conducció automàtica. Caput diu que els dispositius sense fils són eines ideals per explotar amb aquest propòsit, ja que els dispositius connectats tenen protocols de seguretat mínims. 'Un competidor podria piratejar el dispositiu', diu Caput. 'Puc prendre el control d'un ordinador i accedir a la seva càmera web o a un altaveu sense fil amb eines disponibles públicament'.
Hacking governamental
quina alçada fa Paul Greene
L’excavació del govern també és un risc. 'Podeu fer escoltar l'Agència de Seguretat Nacional', diu Caput. 'Teniu tot l'aparell de seguretat que va descobrir Ed Snowden, el toc de dispositius sense garantia'.
Tot i que aquests riscos poden semblar paranoics, com a investigador cibernètic, Caput diu que els dispositius connectats són una manera preferida d’incomplir els protocols de seguretat d’una empresa. 'No és una teoria de la conspiració', diu. 'He vist aquest tipus de pirates informàtics o els he fet jo mateix amb dispositius Internet de les coses'.
Rick McElroy suggereix que les empreses realitzin el seu propi anàlisi de riscos sobre si val la pena incorporar una nova tecnologia com Alexa for Business. 'El valor d'aquesta tecnologia supera o compensa el risc?', Diu McElroy, estrateg de seguretat de Carbon Black, una empresa de ciberseguretat. 'Si la resposta és' sí ', s'hauria de fer un esforç concertat per revisar contínuament les actualitzacions disponibles i educar els empleats sobre les millors pràctiques de ciberseguretat'.
