Безопасность умного города: пора ли уже начинать беспокоиться?

Бизнес

Концепция «умного города» обсуждается уже несколько десятилетий, начиная с научной фантастики начала XX века, а может, и того раньше. Город, в котором тотальная автоматизация упрощает и совершенствует клиентские и городские службы, транспорт и управление движением, энергетику, подачу воды и переработку отходов, тем самым сокращая общие расходы и повышая безопасность граждан. Звучит несколько утопично, но сегодняшний уровень развития технологий наконец-то допускает воплощение этой концепции в реальности. Умный город не будет футуристическим садом Эдема из журналов 1950-х годов, но автоматизация и информатизация городов способна помочь сделать их более пригодными для жизни местом, чем сейчас. И безусловно это создаёт массу возможностей для бизнеса, равно как и вызовов.

Прочно укоренившаяся

В последние десять лет или около того тема «умного города» прочно укоренилась в ИТ-медиа наряду с «интернетом вещей» (последний, безусловно, является составной частью первой темы). Вопросы кибербезопасности также стали часто всплывать в отношении обеих концепций.

Долгое время эксперты по кибербезопасности задают трудный вопрос: «А что, если..?» Что произойдёт, если система водоснабжения или утилизации отходов подвергнется успешной кибератаке? Ответить на вопрос легко. К сожалению, то же самое верно и для другого вопроса: «Легко ли атаковать критически важную инфраструктуру»?

Пока мы не видели каких-либо действительно крупных инцидентов с человеческими жертвами. Это нам ещё повезло, есть учесть, что старую инфраструктуру часто модернизируют с подключением к сети, которого там и в помине не предусматривалось тогда, когда эти системы создавались, и никакой кибербезопасности «по проекту» в них нет. Почти повсеместно признаётся, что безопасность критических элементов инфраструктуры находится в плачевном состоянии.

То, что мы постоянно видим, — это вторжения, APT, кражи данных и т.п. с атаками на все возможные секторы экономики.

В прошлом году Сезар Серрудо, технический директор компании IOActive, представил на DEF CON своё исследование серьёзнейших уязвимостей в системах управления движением транспорта, одного из магистральных направлений парадигмы «умного города». Эти изъяны выглядели достаточно серьёзно, чтобы спровоцировать глобальную кампанию, в результате которой появилась инициатива Securing Smart Cities, активно поддерживаемая целым рядом организаций во всём мире, в том числе «Лабораторией Касперского».

«Мы стремимся помочь миру построить умные города с учётом кибербезопасности», гласит девиз инициативы SSC.

main

Миссия: выполнима

Заявленной миссией инициативы является определение вызовов кибербезопасности, стоящих перед «умными городами», и выработка эффективных решений для противодействия им. Это включает продвижение лучших практик в области кибербезопасности и киберрешений для всех технологий, используемых в умных городах.

Многие организации в мире работают над этими технологиями. Мировой рынок умных городов, по прогнозам, вырастет с $411,31 млрд. в 2014 году до $1,13484 трлн. к 2019 году. Зато куда меньше компаний заботятся о кибербезопасности. Так что, несмотря на то, что эти интеллектуальные решения призваны сделать городские районы энергоэффективными, удобными, экологичными и безопасными, один из столпов безопасности — информационная безопасность таких ИТ-систем — часто упускается из виду. И чем больше будет внедряться ИТ, тем выше станет риск.

«Если не решать задачу на ранней стадии, стоимость и сложность создания умного города может чрезвычайно затруднить решение проблем безопасности на последующих этапах реализации. В конце концов, город окажется уязвим», — гласит описание миссии SSC.

Руководство по смартизации городов

Уже принимаются меры. В конце ноября инициаторы Обеспечения безопасности умных городов выпустили руководящие принципы, совместно разработанные SSC и Альянсом облачной безопасности (CSA) для принятия в качестве основы технологии умного города. Инструкция предоставляет организациям обзор ключевых элементов, необходимых для того, чтобы реализовать лучшие технологические решения с наименьшим риском уязвимости для киберугроз.

Это не детальная программа разработки и тестирования решений по информационной безопасности, скорее, «обзор ключевых элементов, которые организации должны учитывать в целях реализации лучших технологических решений с наименьшим риском воздействия киберугроз». То есть ряд практических рекомендаций о том, как выбирать, внедрять, обслуживать решения и избавляться от них как во время, так и после реализации новых смарт-технологий.

Полный текст документа доступен здесь.

Ранее о безопасности умных городов | Продолжение следует…