La penetrazione dei dispositivi IoT "non aziendali" è in aumento all'interno delle reti aziendali. Dispositivi come lampadine intelligenti, cardiofrequenzimetri, attrezzature da palestra, macchine da caffè, console di gioco e mangiatoie per animali connesse a Internet potrebbero non raggiungere il livello nei modelli di minaccia delle organizzazioni. Questo è diventato problematico perché i controlli di sicurezza nei dispositivi IoT consumer sono minimi. Mantenere bassi i prezzi dell'IoT porta a meno investimenti in sicurezza. La scarsa sicurezza dei dispositivi IoT deriva dall'obiettivo dei produttori di mantenere bassi i prezzi. La sicurezza è considerata un sovraccarico non necessario. La visibilità limitata combinata con un maggiore lavoro a distanza porta a gravi incidenti di sicurezza informatica.
Il rapporto sulla sicurezza IoT di Palo Alto "The Connected Enterprise: IoT Security Report 2021" fornisce approfondimenti sull'uso dei dispositivi IoT non industriali e sulla loro penetrazione nelle reti aziendali. Palo Alto Networks ha incaricato Vanson Bourne, una società di ricerca tecnologica, di esaminare "1.900 decisori IT di organizzazioni in 18 paesi in Asia, Europa, Medio Oriente e Americhe sui loro principali problemi di sicurezza IoT".
I risultati chiave riportati da Palo Alto sono:
Il rapporto elencava i tipi di attacchi riscontrati:
Per Armis è stato eseguito un rapporto separato " Stato della sicurezza dell'IoT aziendale in Nord America: non gestito e non protetto" di Forrester Consulting. Il rapporto di Forrester Consulting concludeva che:
Il rapporto Palo Alto raccomandava che:
L'importanza di implementare soluzioni, pratiche e controlli di sicurezza in grado di identificare e proteggere i dispositivi IoT non può essere sottovalutata. I leader aziendali stanno valutando più dispositivi IoT. Le informazioni fornite da questi due rapporti possono essere utilizzate per concentrarsi sui controlli di sicurezza impropri e inadeguati su questi dispositivi. Questi fattori portano l'azienda e i suoi clienti a sperimentare maggiori rischi di perdita di dati, danni fisici e perdita di entrate. Le organizzazioni dovrebbero adottare un atteggiamento aggressivo di sicurezza informatica. Quando le protezioni di sicurezza non vengono implementate, le aziende sono più inclini a essere vittime di attacchi informatici.