Андрей Никишин, Лаборатория Касперского: «Компаниям необходимо время для встраивания IoT-технологий»

Из-за длительного цикла использования оборудования технологии Интернета вещей будут доступны предприятиям через пять-десять лет, после широкомасштабной замены устройств на те, что способны работать с новыми технологиями. При этом на предприятиях не всегда считают вопрос безопасности в Интернете вещей ключевым, полагает Андрей Никишин, руководитель отдела развития технологических проектов «Лаборатории Касперского». Однако применение IoT-технологий увеличивает риски саботажа или вывода оборудования из строя. По мнению эксперта, сделать устройства Интернета вещей безопасными позволят модели угроз. Такие модели помогут разработчикам понять, какие требования безопасности нужно применить конкретно к этому девайсу.

Как за последнее время изменилась ситуация с защитой информации, передаваемой в корпоративном секторе с помощью технологий Интернета вещей (IoT)?

Интернет вещей – довольно молодое явление и адаптация каких-то конкретных концепций и технологий идет довольно медленно, особенно в корпоративной среде. Если домашние пользователи в повседневной жизни уже привыкли пользоваться устройствами Интернета вещей (например, счетчиками воды, «умной» техникой, носимой электроникой и т.п.), то компаниям необходимо гораздо больше времени для встраивания подобных технологий. С другой стороны, количество угроз растет. Стоит упомянуть последний случай с заражением более чем 25 тыс. камер наблюдения и превращения их в ботнет для организации DDoS-атак.  А вот с новыми или специальными средствами противодействия угрозам для IoT устройств лучше не стало – разработчики устройств как пренебрегали требованиями к кибербезопасности для встраиваемых устройств, так и продолжают это делать. Усугубляет ситуацию использование различных сторонних библиотек (обычно это open source библиотеки). Если в ней находят уязвимость и разработчик выпускает исправление, то все, кто используют эту библиотеку должны обновить свое ПО, не так ли? В реальности это не так. Как раз обычно никто этого не делает (именно это и послужило причиной заражения камер наблюдения). Это одна из серьезных проблем современного мира Интернета вещей.

Как вы считаете, предприятия из каких отраслей промышленности и экономики в России больше готовы к развертыванию IoT?

Если говорить о промышленном Интернете вещей, то в связи с длительным циклом использования оборудования, этот сегмент IoT будет широко доступен только лет через пять-десять, после того как произойдет широкомасштабная замена оборудования на то, которое способно работать с новыми технологиями. Можно говорить скорее о готовности той или иной отрасли к внедрению подобных технологий и понимании плюсов, которые Интернет вещей может принести именно этой отрасли. В первую очередь мы говорим о компаниях, работающих в сфере нефтегазодобычи, также мы видим определенный интерес у транспортных компаний, например, занимающихся грузоперевозками или у производителей автотранспорта.

При этом, безопасность на данный момент, к сожалению, не является один из ключевых вопросов, на который компании обращают внимание при принятии решения, использовать ли Интернет вещей. Причина проста. Обычно от внедрения IoT систем видят скорее преимущества, чем риски: «Раньше такая же модель, но без подключения к Сети, работала отлично и надежно, почему новая модель должна быть хуже?» Новая модель не стала хуже, она стала другой – приобрела новые свойства, о темной стороне которых мы раньше и не задумывались. А так как заказчики не требуют каких-то особых свойств кибербезопасности, то и производители уделяют недостаточно внимания этому вопросу. Справедливости ради стоит отметить, что далеко не все они такие. Все крупные производители систем промышленной автоматизации за последние годы сделали огромный шаг навстречу кибербезопасности.

Какие новые риски для предприятий несут технологии Интернета вещей?

Раньше, в эпоху «до промышленного Интернета вещей», к основным рискам относился выход из строя оборудования или саботаж, достигнутые путем физического доступа к оборудованию. Сейчас же появился новый риск – риск саботажа или вывода из строя оборудования путем кибератаки. И с этим риском надо работать. Исходя из конкретной ситуации, перед предприятием могут возникнуть различного рода угрозы – например, если у устройства есть USB, то возможно внедрить вредоносный код через подключение зараженной флешки и скачать ценную информацию. Вторым важным фактором является цель атаки – например, это может быть саботаж, кибершпионаж или финансовая выгода.

Обычно в устройствах Интернета вещей нет какой-то важной коммерческой информации, поэтому кража данных не является целью злоумышленников. Скорее здесь можно говорить об умышленном причинении вреда, выводе из строя оборудования, нарушении технологического процесса или попытке шантажа с целью получения выкупа.

Какие факторы ускорят процесс создания надежных инструментов по защите данных, передаваемых в сетях Интернета вещей?

Для устройств Интернета вещей невозможно сделать «навесную» защиту, по крайней мере, это очень сложно сделать. Это же не персональный компьютер, на который можно установить антивирусную программу, обеспечивающую защиту. Вы можете себе представить антивирус для спортивного браслета или какого-нибудь датчика? Я не могу. Единственный способ сделать безопасным устройство Интернета вещей – это сделать его защищенным изначально, оно должно быть произведено с учетом требований кибербезопасности. 

Сегодня производители оборудования уже начинают задумываться о безопасности. С ростом использования производителями методологий безопасной разработки ПО, мы получим все больше и больше защищенных устройств, что ускорит процесс их внедрения как в корпоративной среде, так и в промышленности. Но до полной победы еще далеко, поэтому в ближайшем будущем мы с вами не раз еще услышим об успешных кибератаках.

Назовите, пожалуйста, основные тенденции в сфере развития решений для обеспечения безопасности данных, передаваемых с помощью технологий Интернета вещей? Есть ли различия между тенденциями в России и мире?

Различий никаких нет. Единственный подход – безопасность by design, то, о чем я говорил выше. Но для каждого устройства эта концепция разная – зависит от свойств устройства, его характеристик, коммуникационных возможностей, предназначения. Для каждого устройства на этапе разработки концепта необходимо создавать модель угроз, на основании которой уже можно понять, какие требования безопасности нужно применить конкретно к этому девайсу. Только после этого можно разрабатывать конечный продукт.

Беседовал Виталий Мосеев