«Кибербезопасность должна быть встроена так же, как ABS и подушки безопасности»

Производители различных подключенных потребительских устройств по-прежнему не уделяют вопросам кибербезопасности должного внимания. Исключения составляет оборудование, выпущенное для некоторых отраслей по специальному заказу. Отрасль подключенных автомобилей является одной из наиболее критичных, ведь хакеры могут переключить управление машиной на себя, что может привести к серьезным авариям. Кибербезопасность необходимо встраивать в автомобили также, как ABS и подушки безопасности, считает Сергей Кравченко, менеджер по развитию бизнеса Департамента технологий будущего «Лаборатории Касперского». Об этом он рассказал в интервью IoT.ru.

Какой инцидент, произошедший связанный с использованием IoT, вы можете выделить?

На мой взгляд, самый интересный и резонансный случай - это взлом Jeep исследователями Миллер и Валасек, анонсированный на Black Hat в этом году. Исследователи рассказали, как им удалось обойти внутренние, заложенные в архитектуре, ограничения автомобиля, открывающие доступ к управлению колесами и тормозами на любых скоростях. Архитектурно это считалось недостижимой задачей в силу организации внутренней сети автомобиля.

Как бы вы оценили текущую ситуацию с обеспечением информационной безопасности подключенных к IoT объектов?

К сожалению, производители широкого круга потребительских девайсов по-прежнему не уделяют должного внимания безопасности. Всё, что подключено к интернету, можно взломать. Сейчас какое-то внимание получают устройства для банков и устройства, произведенные по специальному заказу. Но большинство повседневных устройств содержит уязвимости, которые позволяют навредить самому устройству, проникнуть во внутреннюю сеть, перехватить управление другими девайсами или украсть деньги пользователя. Например, если телевизор пользователя подключен к сети Интернет и на нем используется аккаунт с привязанной кредитной картой, то, хакер, обнаружив уязвимость в прошивке устройства или локальной сети, получает доступ к кошельку. Теперь приходится думать об информационной безопасности при разработке любых устройств, смотрящих во внешний мир.

Ранжируете ли вы уровни критичности сфер, в которых используется Интернет вещей? В чем заключается главная проблема такого ранжирования?

Ранжировать безусловно необходимо и мы этим занимаемся. Основа такого ранжирования – критичность области, т.е. как сильно устройство влияет на жизнь людей. В этом и есть главная проблема – оценить воздействие отдельного куска вредоносного кода на повседневное окружение пользователей. Не всегда получение хакером доступа к телевизору менее критично, чем к роутеру на предприятии. Если телевизор находится, например, в банковской локальной сети, то последствия взлома могут быть весьма серьезными: в этом случае злоумышленники могут взломать данные многих или всех клиентов банка. Открытие бэкдора в электронном блоке управления или приложении для автомобиля может привести к отзыву миллионов автомобилей из продажи и банкротству предприятия, обеспечивающего тысячи или даже десятки тысяч рабочих мест.

Как бы вы оценили степень киберугроз в сегменте подключенных автомобилей? 

Я оцениваю степень киберугроз в сфере подключенных автомобилей как критическую. В настоящий момент нет ни одного киберзащищенного автомобиля. Автопроизводители только в этом году начали активно заниматься информационной безопасностью. Тем не менее радует, что производители понимают всю серьезность проблемы: сегодня это одна из основных тем для обсуждения. Особенно важно уделять внимание вопросам кибербезопасности в контексте тенденции к переходу на автономный т.е. беспилотный автомобиль, где в случае успешной атаки злоумышленник вероятно завладеет полным контролем над машиной.

Как владельцы подключенных автомобилей и беспилотных машин могут защитить себя от возможных кибератак?

По-настоящему защититься не получится. Кибербезопасность должна быть встроена так же, как сейчас в автомобиль встроены системы физической безопасности – ремни натяжения, ABS, система контроля заносов и курсовой устойчивости, подушки безопасности. Уже на этапе проектирования автомобиля необходимо уделять внимание его кибербезопасности, при этом нужно не только учитывать существующие угрозы, но закладывать возможность противостояния потенциальным угрозам как минимум на пять лет вперед. Однако водителям всё же стоит соблюдать минимальные правила: проверять флэшки с музыкой до того, как воткнуть их в мультимедийную систему автомобиля, установить защиту на смартфон и планшет, который соединяется с автомобилем по Bluetooth или  по USB, а также проверять программное обеспечение, дополнительно установленное в машину. Безусловно, это не панацея, и серьезные проблемы таким образом решить не удастся. По крайней мере владелец таким образом предотвращает случайное заражение вредоносным ПО.

На ваш взгляд, каким образом можно в целом защитить пользователей от потенциальных угроз, которые несут подключенные вещи?

У нас есть свое видение на этот счёт. «Лаборатория Касперского» 19 лет занимается исследованиями в области обеспечения информационной безопасности, в том числе для встраиваемых подключенных устройств. Необходимо отсечь саму возможность заражения устройств. Именно поэтому мы проводим исследования в области безопасности нижнего уровня. Это уровень операционной системы, и в этом году мы анонсировали выход на рынок нашей операционной системы KasperskyOS. Вместе с ней функционирует ряд вспомогательных защитных систем, работающих в связке на уровне ядра операционной системы, исключающих вероятность заражения, непредусмотренных активностей или перехвата управления. Также есть решения для защиты уже функционирующих устройств с иcпользованием нашего Kaspersky Secure Hypervisor, позволяющего существенно повысить безопасность устройства, по сравнению с базовым уровнем. Однако, использование безопасной операционной системы даёт гораздо более серьезную защиту. KasperskyOS основана на принципе MILS и написана с нуля – т.е. это абсолютно новая операционная система, исключающая наследные проблемы безопасности всех остальных систем. Основным фокусом операционной системы был принцип security by design, это означает, что производители могут заложить ограничения на возможность использования подключенного устройства только в тех рамках, которые нужны производителю, исключая ненадлежащее использование таких устройств.

Какие факторы могут ускорить рост объемов рынка информационной безопасности в сегменте IoT в ближайшие два-три года?

На мой взгляд, это в первую очередь заинтересованность рынка в безопасных решениях. Человеку свойственно дистанцироваться от проблем, даже широко обсуждаемых, но ровно до тех пор, пока проблема не касается его самого. Мошенничество, воровство, угроза человеческой жизни находятся в нажатии одной кнопки от каждого из нас. Автоматизированные системы помогают и контролируют огромные части нашей ежедневной жизни, что осложняется «умными» подключенными носимыми устройствами, учитывая их повальную незащищенность. Нужно менять свое отношение к подключенному миру – новые технологии всегда сопровождаются не только преимуществами, но и опасностями. Не хотелось бы стать свидетелями печальных событий, потому стоит неустанно напоминать о кибербезопасности умных устройств и оценивать их потенциальные риски для широкой аудитории.

Какие тренды в сфере обеспечения информационной безопасности в IoT, на ваш взгляд, будут преобладать в ближайшие два-три года?

Сегодня мы живем в киберфизическом мире и разработка направлена в первую очередь на дополнительные и вспомогательные физические функции с помощью кибернетических механизмов. Люди должны осознать, что в результате киберинцидента они могут не только потерять архивы фотографий или деньги с банковского счёта, что хоть и весьма печально, но можно пережить. Новые угрозы напрямую угрожают вашему здоровью и жизням ваших близких. Осознав это, все, в том числе и производители hardware, вынуждены будут инвестировать в кибербезопасность, которая уже напрямую связана с безопасностью физической. Безопасные операционные системы, политики ограничения использования, аутентификация пользователя, шифрование, системы обнаружения и предотвращения вторжений с машинным обучением – думаю на сегодня это основные тренды.

Беседовал Виталий Мосеев