Боты-взломщики из холодильника

Как обеспечить безопасность системы устройств домашней автоматизации

Технологии умного дома сегодня применяют как девелоперы, так и конечные потребители. Первым они позволяют повышать эффективность использования природных ресурсов и электроэнергии. Вторые постепенно входят во вкус дистанционного управления интеллектуальными устройствами, установленными в доме или квартире. На одной чаше весов оказываются экономические выгоды и личный комфорт, а на другой – информационная безопасность. Можно ли привести их в равновесие?


ПО ЕДИНЫМ СТАНДАРТАМ

Как известно, умный дом аккумулирует через интернет вещей (IoT) много личной информации о хозяевах, которая потом оседает на серверах провайдеров систем. Как организовано и, главное, как защищено такое хранилище – волнует не только конечных пользователей.

В начале марта Общественный совет при Минстрое вынес на рассмотрение ведомства предложение разработать и принять единые для всех застройщиков правила, регламентирующие сбор и хранение информации пользователей умных систем. Член комиссии по правовому обеспечению цифровой экономики Московского отделения (МО) Ассоциации юристов России Павел Лавренков в разговоре с RSpectr назвал эту инициативу очень своевременной.

Павел Лавренков, МО Ассоциации юристов России:

– Умный дом – это сложная техническая экосистема, требующая соблюдения стандартов безопасности. Ни одному пользователю не хочется, чтобы умный дом ошпарил горячей водой в душе или заблокировал входную дверь без видимых причин. Нужно определить жесткие требования, которые будут предусматривать меры предупреждения и реагирования на технические сбои систем.

Поскольку компоненты умного дома являются частью интернета вещей (IoT), имеют связь с пользователем и внешними системами, то возникают риски утечки персональных данных (ПД) пользователей. Государство обязано обеспечить минимальные стандарты, в том числе и на нормативном уровне, когда речь идет о безопасности граждан, считает юрист.

Владелец компании в сфере цифрового права «Катков и партнеры» Павел Катков рассказал RSpectr, что

подход к применению интеллектуальных устройств должен быть единым, как в случае подключения жилых домов к интернету

«Такая унификация не означает предпочтение единого поставщика, она скорее определяет общие стандарты, требования их работы, по аналогии с лицензированными и сертифицированными системами», – констатирует он.

В регулировании нуждается и ряд других аспектов домашней автоматизации. Помимо юридической защиты оборота данных с управляемых устройств, эксперты выделили требования по безопасности взаимодействия интеллектуальных систем с внешними сетями.


РЫНОК И ПОТРЕБИТЕЛИ

Как показало исследование экспертов Аналитического центра при правительстве РФ, по темпам роста рынка технологий умного дома в 2020 году Россия значительно опережает лидеров: США, Китай и Германию. И если в 2019 году такие решения и устройства использовали 4% домохозяйств в РФ, то в 2025 году, по прогнозам Statista.com, их станет в три раза больше. Кроме того, на основе опроса пользователей проекта Hi-Tech Mail.ru исследователи сделали вывод, что

88% россиян знают, что такое умный дом, однако в обычной жизни его элементы используют лишь 27%

О росте продаж умных бытовых гаджетов на 60% за 2020 год объявляла и компания «Ситилинк».

Групп участников рынка смарт-решений для дома несколько. В его верхнем сегменте осваиваются девелоперы. Они занимаются эффективным управлением инженерной инфраструктурой здания, а также экономным потреблением ресурсов. Еще одна группа игроков – провайдеры услуг ШПД. Для них это направление – дополнительный источник дохода, доступный в силу их присутствия в домохозяйствах. Среди таких компаний – МГТС, «ЭР-Телеком» и «Ростелеком».

Иногда в партнерстве с операторами, а еще чаще самостоятельно, выступают разработчики IT-решений. Среди них немало международных брендов (Apple, Xiaomi), интернет-компании из России (Mail.ru, «Яндекс»), а также небольшие амбициозные цифровые компании и вчерашние стартапы.


БЕЗОПАСНОСТЬ ДЛЯ СОФТА

Выбор технологий для построения умного дома сегодня широк. Один из важных критериев – протокол, по которому интеллектуальное решение будет взаимодействовать с системой управления и с внешним миром. Он может быть как проводным, так и беспроводным, открытым или закрытым.

«Каждое из таких решений имеет свои особенности, достоинства и недостатки. Причем назвать какой-то тип лучшим едва ли получится, поскольку для каждого случая можно выбрать наиболее подходящую систему», – рассказал RSpectr генеральный директор IT-компании Omega Алексей Рыбаков.

Как выглядит типовое решение умного дома:

В состав любой системы автоматизации домохозяйства входит управляющий блок, или контроллер, который подключается к физическому, облачному или локальному серверу поставщика услуги.

Для дистанционного мониторинга обстановки в умном доме предусмотрен набор датчиков:

  • движения,
  • открытия/закрытия окон и дверей,
  • задымления, протечек и некоторых других);
  • а также IP- или MMS-видеокамеры и исполнительные устройства.

Все они передают показания контроллеру по проводной или по домашней сети Wi-Fi, а он при необходимости оповещает хозяина. К этой же сети подключается и техника: колонки с голосовыми помощниками, смарт-телевизоры, стиральные машины, холодильники со встроенным интеллектом. Пользователь взаимодействует с системой через веб-интерфейс или мобильное приложение.

Эксперты советуют уже на этапе планирования и выбора решения для умного дома позаботиться о его безопасности

Руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков в разговоре с RSpectr отметил, что если допустить ошибки в защите устройств или систем, то исправить их будет гораздо дороже, а иногда невозможно.

Павел Новиков, Positive Technologies:

– Важно предусмотреть обновление систем. Необходимо обращать внимание на технологии: какая сеть будет использована для сбора данных, имеет ли она встроенные средства безопасности, какие устройства применяются, имеют ли они защиту от физического вмешательства.


ЧАЙНИК АТАКУЕТ

Объектом действий киберпреступников могут стать все компоненты умного дома. «Общая база данных и система их сбора – наиболее вероятная точка атак со стороны злоумышленников, так как их взлом даст доступ к данным всех источников сразу, однако защитить впоследствии их проще», – говорит П.Новиков.

По его мнению, среди конечных пользователей будут очень распространены попытки взлома умных счетчиков электроэнергии, тепла и воды для снижения показателей. И если в системе не предусмотрен механизм удаленного обновления, исправить такую уязвимость достаточно сложно, отмечает эксперт.

Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов рекомендует начинать построение умного дома с центральной системы, и при ее выборе ориентироваться на основных игроков рынка.

Дмитрий Галов, «Лаборатория Касперского»:

– Крупные компании ответственно подходят к созданию экосистемы. Это повысит уверенность в качестве подключаемых к ней устройства. Кроме того, при покупке устройств лучше проверить, что пишут об их безопасности, а при использовании важно следить за обновлениями и новостями о найденных уязвимостях. Устанавливая устройства, важно изменить пароль на сложную уникальную комбинацию, а также внимательно проверить все параметры настройки.

Директор департамента информбезопасности компании Oberon Евгений Суханов рассказал RSpectr, что особое внимание стоит уделить защите элементов умного дома, имеющим доступ к внешним сетям и управляемым пользователем удаленно. Например, с мобильного приложения.

Евгений Суханов, Oberon:

– У таких устройств есть ОС, подверженная рискам компрометации и заражению вредоносным ПО. Основной риск – компрометация умных бытовых приборов для кражи данных, использование этих устройств для проведения массовых кибератак путем подключения к ботнет-сети. Впоследствии такие приборы под управлением злоумышленников могут участвовать в DDoS-атаках, делая недоступным целевые веб-сервисы.

Эксперт отметил, что нельзя забывать – умные гаджеты, например, смарт-телевизоры, собирают и хранят информацию платежных карт.

Старший вице-президент компании Parallels Николай Добровольский сообщил RSpectr, что элементы умного дома могут использоваться киберпреступниками в качестве лазейки (back door) для несанкционированного подключения к цифровой инфраструктуре пользователя.

Николай Добровольский, Parallels:

– Особенно это критично при доступе злоумышленников к системам безопасности, датчикам открытия дверей, устройствам видеонаблюдения. Тогда в сеть могут попасть любые компрометирующие вас материалы. Неприступность вашего жилища также будет под угрозой.

Причина утечек важных данных из систем умного дома заключается в недостаточном внимании к безопасности со стороны производителя устройств. Как правило, он не устраняет уязвимости в прошивках, не выпускает рекомендации для пользователей, например, по смене паролей, установке обновлений, рассказывает RSpectr руководитель направления ИБ АО «ЭР-Телеком» Михаил Терешков. «В результате атакующий может получить контроль над устройством и использовать его для создания ботнета, майнинга, скрытого наблюдения, переконфигурирования с целью нанесения ущерба», – поясняет эксперт.

Наличие встроенных механизмов защиты в интеллектуальных устройствах могло бы существенно повысить безопасность умного дома

Но для этого нужна выработка единых технических стандартов и, в первую очередь, функций ИБ, отмечает Е.Суханов.


РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ

Для каждого из этих компонентов решения требуются свои подходы к защите.

Павел Новиков, Positive Technologies:

– Для защиты сети интеллектуальных и исполнительных устройств весьма эффективным способом является шифрование. Для датчиков, счетчиков – системы сигнализации от физического вмешательства. Для систем хранения и обработки информации – защита базы данных и API*, с помощью которого эти данные передаются во внешние системы.

Также необходимо использовать защищенный канал, устанавливать на роутере, управляющем блоке и в мобильном приложении сложные пароли и не забывать их менять как минимум раз в месяц, советует А.Рыбаков.

Важно приобретать сертифицированные смарт-устройства в проверенных местах, подключать их через умный хаб, чтобы получать доступ в сеть через одну точку. Желательно отделять гаджеты от основной сети, чтобы те не могли «достучаться» до домашних компьютеров, ноутбуков и смартфонов, напоминает Н.Добровольский.

Вообще лучше не предоставлять интеллектуальным компонентам широких возможностей для взаимодействия с интернетом, а использовать технические параметры разумной достаточности, рекомендует Е.Суханов. И, конечно же, использовать двухфакторную аутентификацию при проведении любых платежей со смарт-устройств. Нелишней будет и поточная антивирусная защита, например, на домашнем роутере.

* API (application programming interface, программный интерфейс приложения) – описание способов взаимодействия компьютерных программ.

Изображение: RSpectr, Freepik.com


ЕЩЕ ПО ТЕМЕ
Вовлечение в подключение
Потребителям нужно больше рассказывать о новых технологиях