В фокусе
Читать...
ГлавнаяРубрикиОбщий взглядИнтернет угроз: чем опасны для бизнеса IoT-устройства и что с этим делать
05.11.2019

Интернет угроз: чем опасны для бизнеса IoT-устройства и что с этим делать

Рынок Интернета вещей растет со стремительной скоростью. Эксперты  прогнозируют, что уже к 2022 году мировые расходы на IoT превысят $1 трлн. Умные устройства стали незаменимыми для многих отраслей бизнеса - их используют в ритейле, судоходстве, добыче полезных ископаемых, автомобилестроении и медицине. Однако, несмотря на бурное развитие рынка smart-систем, на нем до сих пор не существует единых стандартов по кибербезопасности. Чем могут быть опасны умные гаджеты, и как от них защититься, рассказывает Ольга Баранова, операционный директор Orange Business Services Россия и СНГ.

IoT-решения для бизнеса представлены огромным набором технологий, протоколов связи и гаджетов. Кроме того, у каждого отдельного проекта есть свои риски и своя модель угроз. Из-за такого разнообразия практически невозможно предусмотреть единую систему безопасности, которую можно было бы использовать во всех направлениях IoT. Нет и законодательной базы по вопросам безопасности Интернета вещей: оборудование не лицензируется, не проходит аудит, а регуляторы не выдают никаких сертификатов. Злоумышленники хорошо знают все эти слабые места. Например, в 2016 году, хакеры использовали уязвимость, связанную со слабой защитой IoT-гаджетов - производители ставили одинаковые пароли для всех умных устройств. Ботнет Mirai вывел из строя серверы DNS-провайдера Dyn, чем вызвал сбои в работе множества международных сервисов: PayPal, Twitter, Reddit, Netflix и др.

Всего в мире насчитывается около 14000 компаний, поставляющих IoT-решения для бизнеса, но 94% умных устройств изготовлено всего лишь сотней крупнейших производителей.

Корпоративные устройства - слабое звено в защите компании

IoT-решения сегодня активно используются в урбанистике, на производствах, в банковской и страховой сфере, в аэрокосмической отрасли и телекоме. Кибератака на любой из этих бизнесов может закончиться многомиллионными убытками, а в некоторых случаях стать причиной угрозы жизни и здоровью людей. Чаще всего компании используют такие устройства, как умные датчики, сетевые камеры, коммутаторы и роутеры - самые уязвимые гаджеты из перечисленных. 

Большинство IoT-решений разрабатываются для повышения эффективности работы компаний и снижения затрат. В этом и заключается главная проблема: стоимость проекта и его экономическая эффективность выходят на первый план, а кибер-риски сильно недооценивают. Но даже самые простые умные устройства (системы контроля окружающей среды, системы полива, обнаружения пожара, обнаружения утечек и т.д.) необходимо обеспечить максимальной защитой.

Например, обычный умный термостат, установленный в аквариуме крупного казино, однажды привел к кибер-катастрофе: злоумышленники взломали устройство и через него проникли во внутреннюю сеть заведения, похитив списки ключевых клиентов. Опасность могут представлять любые IoT-устройства, если они не достаточно хорошо защищены.

Тем не менее, ситуация постепенно меняется к лучшему - в игру вступают регуляторы: как национальные, так и международные. Например, в прошлом году штат Калифорния (США) одобрил первый в стране законопроект о необходимости обеспечения IoT-устройств средствами защиты от взлома. Один из пунктов закона - закрыть доступ к управлению IoT-устройствами для неавторизованных пользователей. Несколько позже аналогичные требования были сформированы законодателями Орегона, а также другими штатами США. Следом за США анонсировала скорое принятие законов о мерах информационной безопасности в IoT-индустрии и Великобритания. С большой долей вероятности вскоре и другие страны примут меры в отношении информационной безопасности Интернета вещей.

Однако пока изменения не достигли критической массы, достаточной для качественных изменений, угроза остается актуальной.

Основные риски информационной безопасности в IoT для бизнеса:

Быстрый рост инфраструктуры. Чем быстрее увеличивается количество IoT устройств, тем более надежные требуются инструменты для контроля и управления инфраструктурой. Если их не будет, злоумышленники смогут использовать вредоносное ПО, которое будет заражать незащищенные или неправильно сконфигурированные устройства. При большом количестве зараженных устройств формируется ботнет, который проводит распределенные DDoS-атаки, нацеленные на отказ в обслуживании. Так можно вывести из строя практически любую инфраструктуру. Вредоносные системы такого рода уже существуют и работают - наиболее ярким примером является ботнет Mirai. 

Кроме того, т.к. спектр использования IoT-устройств очень широкий - от городских инфраструктур до b2b-приложений - необходимы масштабируемые решения в сфере информационной безопасности. Отличным примером такого решения будут механизмы Blockchain. Дело в том, что IoT-устройства передают огромные объемы данных, которые постоянно подвергаются кибератакам. А архитектура Blockchain в этом случае используется для аутентификации, стандартизации и защиты данных, обрабатываемых устройствами.

По оценкам Gartner к 2020 году году количество IoT-устройств может приблизиться к 20 миллиардам, и более 65% предприятий по всему миру будут использовать IoT-системы в своей работе. При этом 50% фабрик, внедряющих в процессы управления производством IoT-технологии не уделяют должного внимания кибербезопасности.

Сетевая связность. В расширяющейся IoT-инфраструктуре предприятия обязательно появятся гаджеты с разной функциональностью и возможностями. Нужен надежный способ объединения таких устройств в безопасную комплексную систему, поскольку в противном случае данные могут быть скомпрометированы киберпреступниками в любом месте - от сетевого шлюза  до системы хранения.

Аутентификация. Отсутствие единых стандартов идентификации и аутентификации в сложной среде IoT - серьезная проблема. Из-за этого невозможно установить доверительные отношения между отдельными компонентами IoT, что является чрезвычайно важным для, например, систем класса smart-city или корпоративных решений. Слияние физических и цифровых компонентов таких систем приводит к появлению векторов угроз со стороны периферийных IoT-устройств. Добавление новых устройств или их компонентов в экосистему IoT при условии отсутствия стандартов, повышают риски проникновения злоумышленников в критически важные системы (промышленные, муниципальные, энергетические и т.п.) с последующим прекращением операций. 

Контроль учетных записей. Аналогичным образом нужно обеспечить возможность безопасного управления учетными записями пользователей IoT систем и самих систем. Данные учетных записей даже в крупных технологических компаниях часто хранятся в открытом виде, что недопустимо.

IoT-устройства часто собираются из решений разных производителей. Современные гаджеты Интернета вещей собирают в большинстве случаев из типовых компонентов, предоставляемых разными производителями. Это помогает сэкономить время и деньги, но серьезно бьет по защите устройств. Дело в том, что компоненты гаджетов не проходят аудит со стороны специалистов по информационной безопасности.  Не проводится и комплексная проверка уже собранного из “кубиков” устройства или системы. Если хотя бы в одном из компонентов есть уязвимость - скорее всего, именно она поможет злоумышленникам взломать систему.

Есть и другие проблемы IoT-сферы, включая отсутствие управления рисками ИБ, отсутствие политик безопасности для IoT-устройств, недостаточная осведомленность о проблемах безопасности IoT-систем инженеров и системных архитекторов, отсутствие инвентаризации IoT-устройств в большинстве компаний и на предприятиях, незрелые процессы реагирования на инциденты кибербезопасности.

Может ли бизнес нивелировать эти угрозы? Задача непростая, но выполнимая. Необходимо обеспечивать информационную безопасность IoT-проекта на всем пути работы: от проектирования гаджета до введения устройства в эксплуатацию. 

Основные методы по обеспечению кибербезопасности:

Быть на шаг впереди. Опытную команду специалистов по информационной безопасности необходимо привлечь еще на этапе проектирования системы. Эксперты разработают надежную систему аутентификацию, шифрование каналов связи и систему обнаружения вторжения.

Отработать риски. Использовать риск-ориентированный подход при проектировании IoT системы предприятия, что позволит спроектировать модели всевозможных угроз. По созданным моделям можно отработать разные методы защиты, которые в дальнейшем будут использоваться для уже готовой IoT-системы.

Защитить корпоративное ПО. Использовать основные принципы информационной безопасности при разработке программного кода корпоративного ПО, регулярно проверять исходный код на ошибки и уязвимости, проводить "полевые" тесты по проникновению в уже работающую систему.

Отслеживать угрозы. Обязательно использовать мониторинг и своевременно реагировать на инциденты в сфере информационной безопасности. Один из способов отслеживания угроз - контроль сетевого трафика с IoT устройств, который должен проходить через системы предотвращения/обнаружения атак.

Запустить SOC. Security Operation Center или просто SOC занимается обнаружением и анализом инцидентов информационной безопасности, предотвращением их возникновению и последствиям. Этот комплекс технологий, процессов и люди бывает непросто организовать внутри компании - процесс долгий и дорогостоящий, к тому же осложняется острой нехваткой ИБ-специалистов на рынке. Поэтому во многих случаях компаниям проще обратиться за этой услугой к  сервис-провайдерам, ИТ-интеграторам и операторам связи.

Внимательно выбирать поставщиков. Сотрудничать стоит только с теми вендорами, которые уделяют достаточно внимания безопасности Интернета вещей, а не только функциональности устройств и их дизайну. Таких компаний не очень много, но они есть, и с каждым годом их становится больше.

Обеспечить сквозную безопасность. Недостаточно защитить только само IoT-устройство – необходимо подумать о безопасности данных на всем пути их жизненного цикла: от генерации и транспортировки до хранения и обработки. Сначала надо защитить сам датчик, затем организовать безопасную передачу данных по зашифрованному каналу, защищенному от модификации данных. А на этапе хранения и обработки - защитить внутренний периметру от DDoS-атак и вредоносных программ.

Подготовиться к аварийным ситуациям. Включить IoT системы  в планы аварийного восстановления, создать резервную, катастрофоустойчивую инфраструктуру для IoT систем, убедиться что резервные копии данных не могут быть подвержены заражению вредоносным ПО, проводить регулярные проверки аварийного восстановления.

Аналитики установили, что затраты на ликвидацию последствий взлома в несколько раз превышают расходы на обеспечение информационной безопасности IoT-систем. Кроме того, снизить общую стоимость IoT-проекта можно при работе с сервис-провайдером, который использует уже существующие технологии, не разрабатывая все с нуля.

Все это требует немалых инвестиций финансов и ресурсов. Но эти расходы стоят того - безопасность корпоративных IoT-устройств должна стать приоритетной задачей для любой компании. Если недооценить риски, то рано или поздно злоумышленники окажутся умнее ваших гаджетов. 

Источник.

Версия для печати3867 просмотров.
Оцените статью по: