Интернет вещей и безопасность инфраструктуры

Новости

Словосочетание «Интернет вещей» (Internet of Things) на слуху уже несколько лет. Начинается эпоха, когда к Сети будут подключать кучу всевозможных домашних устройств и даже автомобили, и масса бизнесов видит в этом большие возможности для себя. В то же время люди начинают интересоваться, насколько хорошо такие устройства и те же автомобили защищены от сетевых угроз.

Интернет Вещей и безопасность инфраструктуры

Евгений Касперский в своем интервью газете USA Today перефразировал Интернет вещей как «Интернет угроз». Похожей точки зрения придерживается Эдит Рамирес, председатель Федеральной торговой комиссии США, посвятившая вопросам безопасности и конфиденциальности IoT свою речь на открытии CES 2015 в Лас-Вегасе.

Впрочем, несмотря на все предостережения, остановить процесс уже не получится. Все уже признали Интернет вещей следующей «большой темой» и пророчат этому рынку очень быстрый рост. По текущим оценкам, объем этого рынка может достичь триллионов и десятков триллионов долларов уже к 2020 году. Разумеется, никто из потенциальных его участников не собирается добровольно отказываться от таких заманчивых перспектив.

В качестве примера Интернета вещей нередко приводят носимую электронику. В частности, фитнес-браслеты, которые запоминают информацию о передвижениях своего владельца. Утечка подобной информации может быть неприятна, однако это не самая страшная проблема, связанная с IoT.

Умные браслеты не образуют инфраструктуру, необходимую для существования человека. Да и в конце концов, проблему с возможной утечкой персональных данных из-за ношения браслета любой человек может эффективно решить самостоятельно — достаточно просто снять устройство и убрать поглубже в ящик.

Но есть и другая часть Интернете вещей, в которую входят системы и сервисы, традиционно называемые M2M. Такие сервисы и системы могут быть тесно интегрированы (или предполагается, что они будут интегрированы) с критической инфраструктурой. И в этом случае безопасность становится настолько важным вопросом, насколько важна та или иная часть этой инфраструктуры.

Например, многие наверняка слышали о существовании умных сетей электроснабжения. Эти системы используют информационные сети и технологии для сбора информации о производстве и потреблении энергии и позволяют эффективно управлять распределением электроэнергии в соответствии с полученными данными. Для сбора данных используются умные счетчики, устанавливаемые, например, в каждом доме, подключенном к подобной сети. Такие сети уже строятся во многих странах мира, запланировано их строительство и в России.

Что может сделать с такой сетью киберпреступник? Например, занизить показания умных счетчиков, чтобы избежать оплаты полученной энергии. Или наоборот — завысить их показания, чтобы причинить выбранной жертве финансовый ущерб.

Несложно обнаружить и другие возможные сценарии, связанные с атакой на критическую инфраструктуру. Получив контроль над системой управления дорожным движением, злоумышленники могут нарушить нормальную работу транспорта или даже умышленно устроить аварию. Подобные действия могут иметь непосредственное влияние на экономику и нашу повседневную жизнь.

Конечно, старомодная «глупая» инфраструктура также была подвержена влиянию разнообразных негативных факторов — вследствие ошибок в проектировании систем или выхода из строя из-за природных катаклизмов. Но важно понимать, что, как только вы подключаете систему к Сети, вам приходится включать в этот список еще один важный пункт — кибератаку.

Нам следует изучить уже произошедшие и возможные инциденты и использовать для подключенных систем критической инфраструктуры более безопасные механизмы взаимодействия. Если говорить более конкретно, операторам и разработчикам систем, относящихся к Интернету вещей, следует задать себе следующие вопросы:

1. Ставлю ли я удобство и простоту использования системы выше безопасности?
Простота использования для клиентов означает ту же самую простоту для злоумышленника. Отличная иллюстрация этого тезиса — недавний массовый взлом домашних веб-камер. Это даже и взломом не назовешь — просто однажды выяснилось, что тысячи пользователей оставили заданный производителем дефолтный пароль, так что к их камерам мог получить доступ любой желающий. Причем те, кто подсматривал, выяснили эту интересную деталь за пару лет до тех, за кем подсматривали.

2. Верю ли я в то, что системы «только для чтения» безопасны?
И такие системы тоже небезопасны. В любом случае в памяти работают приложения, так что взломщик найдет, как проникнуть в систему. Сетевые устройства сейчас, как правило, работают на Linux, а в Linux есть немало уязвимостей.

3. Верю ли я, что ни одно из моих устройств никогда не взломают?
Взломать можно что угодно, и, как правило, удобнее всего обнаружить слабое звено и начать с него. Поэтому важно постоянно отслеживать состояние всей системы и иметь средства обнаружения аномалий в каждом узле сети. Вспомните, как Stuxnet проник в систему управления центрифугами. Это стало возможно потому, что отдельные части компьютерной инфраструктуры считались не слишком важными и обеспечению их безопасности не уделили внимания.

4. Режу ли я расходы на тестирование?
Тестирования на проникновение очень важны. Тесты должны быть организованы в соответствии с требованиями безопасности для разрабатываемой системы. Мы настоятельно рекомендуем включать эти тесты в стандартный процесс разработки.

5. Считаю ли я, что безопасность — необязательное требование?
Безопасность — одно из ключевых требований для устройств и систем, подключенных к Сети. О ней следует думать начиная с самых ранних этапов планирования разработки.

Помните, если хотя бы на один из этих вопросов ваш ответ утвердительный, последствия могут стать проблемой не только лично для вас или организации, которую вы представляете, но и для массы других людей.