IoT подкрался незаметно

Почему интернет вещей уязвим и как его защитить

Мы не замечаем, насколько глубоко различные умные устройства проникли в нашу жизнь. Автомобильные датчики могут отправлять информацию не только производителю, но также полиции и страховым компаниям, а домофон способен вызывать скорую помощь. Но оборотной стороной оперативности и комфорта являются возрастающие риски использования смарт-систем. Разбираемся, каковы ключевые угрозы внедрения интернета вещей в бизнесе и как сделать его применение безопаснее.

S – SECURITY

Минцифры предложило предоставить бизнесу платный доступ к накопленным госструктурами обезличенным данным: сведениям о медицинских обследованиях, уровне цен в разных регионах, составе почвы для сельскохозяйственных работ и т.д. Подобная информация очень важна для производителей различных умных устройств, подключенных и обменивающихся данными через Сеть. С помощью интернета вещей (Internet of Things, IoT) компании могут экономить на межмашинном взаимодействии, сборе и переработке «сырых» промышленных данных, принимать более быстрые и ответственные управленческие решения.

Но участники рынка сетуют, что в аббревиатуре IoT очень не хватает буквы S – Security. Ведь главным препятствием на пути внедрения технологии является проблема безопасности. Специалисты отмечают, что

инфраструктура IoT-устройств защищена очень слабо, а уязвимости успешно монетизируются злоумышленниками

Это приводит к печальным последствиям для целых отраслей экономики. В начале мая хакеры остановили транзит топлива на нефтяном трубопроводе Colonial Pipeline в США. Возобновить его работу удалось после выплаты выкупа, сумма которого составляла от 4,4 млн до 5 млн долларов. После этой атаки эксперты заговорили о наступлении эпохи кибертерроризма, способного погружать в локдаун целые города и регионы. Благодатной почвой для этого выступает IoT.

Умные устройства могут навредить не только компаниям и бизнес-процессам, но и человеку. Несколько лет назад мировые СМИ активно писали о кукле My Friend Cayla – игрушке, оборудованной микрофоном, динамиками и Bluetooth-передатчиком. С помощью специальных поисковых систем злоумышленники могли найти такую игрушку и подключиться к ней, чтобы шпионить за детьми и их родителями. Власти разных стран рекомендовали уничтожать экземпляры Cayla. Но не секрет, что почти все девайсы собирают данные о своих владельцах без каких-либо уведомлений и разрешений.

ПОДРЫВНАЯ ТЕХНОЛОГИЯ

IoT – это устройства, которые имеют операционную систему, они могут получать, передавать и обрабатывать данные, напомнил ведущий консультант IBM Security Владимир Потапов на конференции AM Live «Безопасность интернета вещей (IoT)». Для классификации эксперт разделяет интернет вещей на пять категорий:

1. IT-инфраструктура;
2. офисные оборудование и периферия;
3. автоматизация зданий;
4. промышленные и медицинские системы;
5. персональные гаджеты (планшеты, смартфоны и т.д.).

Владимир Потапов, IBM Security:

– Классический подход к построению защиты для IoT-систем не работает в силу определенных программных и аппаратных решений, которые в них используются.

Еще 15 лет назад число различных смарт-устройств превысило количество населения всей Земли. Согласно прогнозу J’son & Partners Consulting, общее количество IoT-систем в России, подключенных к Сети, вырастет с 23 млн единиц в 2019 году до 56 млн в 2025-м.

Одновременно растут и исходящие от них угрозы, поэтому интернет вещей можно считать «подрывной технологией» с точки зрения информационной безопасности, полагает технический директор в СНГ, Грузии и Монголии Trend Micro Михаил Кондрашин.

Михаил Кондрашин, Trend Micro:

– Об угрозах со стороны умных кофеварок заговорили гораздо позже, чем появился мир интернета вещей.

Количество различных смарт-устройств стремительно растет, их стоимость сравнительно невысока, а сфера применения расширяется. Их сложно защищать, используя традиционные, классические подходы

С ним согласна руководитель направления отдела развития продуктов «ИнфоТеКС» Марина Сорокина. По ее словам, бизнес, госструктуры и отдельные люди оказались не готовы к лавинообразно растущим рискам и масштабным киберинцидентам.

БЕЗОПАСНОСТЬ – НЕ В ПРИОРИТЕТЕ

При этом большинство вендоров, которые производят сейчас IoT-системы, не горят желанием заниматься их информационной безопасностью. В итоге эти устройства подвергаются массированным атакам, их программное обеспечение заменяется на вредоносный софт, а они сами становятся атакующими, отмечает М.Сорокина. Так, отсутствует защищенность систем управления погрузочных кранов на стройках или в цехах заводов. Естественно, все это угрожает жизни и здоровью людей.

Михаил Кондрашин, Trend Micro:

– Рынок интернета вещей, особенно в бытовой сфере, сейчас бурно развивается, и в ближайшие пять лет вопросы безопасности для производителей будут стоять не на первом месте.

Тем, кто сейчас планирует приобретение гаджетов, нужно это учитывать, подчеркнул М.Кондрашин. И,

если на IoT-устройство перестали приходить прошивки, его нужно выкинуть

Иначе ничем хорошим для пользователя это не закончится, убежден эксперт.

По словам М.Сорокиной, IoT-системы – это те же автоматизированные системы управления, встроенные в критическую информационную структуру (КИИ).

Марина Сорокина, «ИнфоТеКС»:

– С этой точки зрения на них действует то же законодательство, те же требования по оценке рисков и защите подобных систем, как и на все остальные, построенные по классическим признакам.

В мире интернета вещей остро стоит вопрос обновления, практики и культуры патч-менеджмента для борьбы с уязвимостями, подчеркнул директор по развитию направления «Кибербезопасность населения» «Ростелеком-Солар» Олег Седов.

НЕ ДОПУСТИТЬ ПРОРЫВА

За последние годы киберинциденты заняли верхние строчки рейтинга рисков для бизнеса, а рынок интернета вещей напоминает дамбу, которая трещит по швам и вот-вот прорвется под напором рисков и угроз. Вместо того чтобы «замазывать трещины», нужно строить ниже по течению новую преграду принципиально другого уровня, считает руководитель направлений защиты АСУ ТП и КИИ «Инфосистемы Джет» Александр Карпенко. Тогда процесс обеспечения безопасности на всех этапах создания новой технологии будет понятен всем, и пользователи оценят по достоинству непонятные «черные коробочки» IoT-устройств, полагает он.

Но нужно успевать, так как злоумышленники активно используют достижения IT-индустрии. Они уже напугали бизнес и заставили его прислушиваться к специалистам по информационной безопасности.

Дмитрий Митюшин, менеджер по развитию бизнеса «Лаборатории Касперского»:

– Чем больше мы насытим инфраструктуру устройствами, созданными на основе устаревших подходов, тем сложнее ее будет защищать сегодня и менять завтра.

Он считает, что

сейчас нужно перестать плодить киберриски и массово отказаться от устаревших технологий

Отказ от старых подходов – это хороший призыв, но куда девать платформы, на которых они функционируют, и людей, которые не могут по-другому мыслить, задается вопросом О.Седов. Он напомнил об определении термина «цифровая экономика», которое привел декан экономического факультета МГУ им. М.В.Ломоносова Александр Аузан: это экономика сокращения транзакционных издержек.

Любой бизнес, который выходит на рынок с решениями, построенными на IoT, будет на шаг опережать тех, кто этим пренебрегает. Но для того чтобы не обжигаться, не просить помощи у регуляторов, нужно думать о том, как это делать безопасно.

Олег Седов, «Ростелеком-Солар»:

– Главная цель производителей IoT-систем – найти уникальное применение для своих решений в конкретном бизнесе и добиться неординарных результатов, которые дадут им преимущество перед конкурентами.

На этом фоне именно специалисты по информационной безопасности должны задавать тренды в построении киберфизических систем. Это вопрос стандартизации протоколов, сетей передачи данных и в целом построения подобных структур, отмечает менеджер по развитию бизнеса «Лаборатории Касперского» Д.Митюшин.

Дмитрий Митюшин, «Лаборатория Касперского»:

– Россия участвует в построении этих фреймворков и делает вклад в то, чтобы особенности нашей страны также учитывались в таких стандартах.

Важно, чтобы подобные стандарты были универсальными и взаимоувязанными на территории разных стран, как, например, нормы Международного электротехнического консорциума, которые действуют в Евросоюзе и применяются в энергетике. Еврокомиссия предлагает использовать эти стандарты в медицине и транспорте.

Изображение: Freepik.com, RSpectr

ЕЩЕ ПО ТЕМЕ:

Оружие массового шифрования
Как компьютерные террористы могут взять в заложники города и страны