Информационная безопасность в Интернете вещей
Тенденцией последнего времени становится разработка регулирующими органами документов, направленных на сертификацию IoT-устройств. Обязательная сертификация позволит обезопасить в первую очередь частных пользователей. Вендоры потребительского оборудования хотят занять ведущие позиции на рынке CIoT, поэтому о безопасности думают в последнюю очередь.
В круглом столе приняли участие:
Какие основные драйверы развития рынка кибербезопасности в России IoT преобладали в последнее время?
Алексей Лукацкий: В России в сфере кибербезопасности в последнее время появляются нормативные акты, регулирующие использование технологий Интернета вещей при соблюдении минимальных требований к безопасности. Барьеры для роста рынка кибербезопасности – это геополитическая ситуация в мире, санкции и т.д. К основным драйверам развития можно отнести законодательные ограничения, связанные с промышленной автоматизацией (приказ ФСТЭК, ГосСОПКА ФСБ, закон о критической инфраструктуре) и рост числа атак на промышленный IoT. В потребительском IoT пока нет того, что заставляло бы активизировать усилия по кибербезопасности.
Какие тенденции в сфере безопасности Интернета вещей преобладали в России в 2017 году?
Алексей Коняев: Начну с того, что понятия «безопасность Интернета вещей» на сегодня не существует. Как, в принципе, и четкого определения – что же такое «Интернет вещей». Если допустить, что в это понятие входят устройства, подключаемые к интернету, то это, в первую очередь, IP-видеокамеры для слежения происходящего в доме, так называемые «умные» телевизоры, игровые приставки, принтеры, - т.е. давно уже привычные нам «сетевые» инструменты – но к ним прибавляется все больше именно бытовых приборов, как то: холодильники, чайники, микроволновые печи и пр.
С точки зрения безопасности большинство данных устройств сейчас практически никак не защищены, но сами по себе они и представляют небольшой интерес для киберпреступников, в сравнении, например, с банковскими мобильными приложениями, с которых можно украсть реальные деньги. По крайней мере пока.
Поэтому основный риск использования данных устройств на текущий момент – это использование их как части большой бот-сети для осуществления в дальнейшем DDoS-атак. Это просто, ведь большинство устройств типа IoT взломать сможет даже школьник, и безопасно для преступников с точки зрения обнаружения. Отслеживать и анализировать подобные атаки крайне сложно даже для обычных компьютеров – что уж говорить про такие девайсы. Количественно атак с использованием устройств типа IoT пока немного по одной простой причине - таких устройств в принципе мало.
Развитие IoT предполагает, что работающие автономно сетевые устройства будут исчисляться не сотнями тысяч, как сейчас, а десятками миллиардов, поэтому, если к этому времени не будут разработаны стандарты по обеспечению их безопасности, очевидно, мы столкнемся с глобальной проблемой.
Денис Легезо: Сейчас главные тенденции в сфере кибербезопасности невозможно разделить по странам. Сеть глобальна и атакующим не так важно, где установлен тот или иной роутер или веб-камера. С точки зрения инцидентов в 2017 по-прежнему строили ботнеты (Mirai, Hajime) и коммерциализировали их с помощью DDoS-атак.
Сейчас требования по обеспечению информационной безопасности к производителям встроенных устройств ужесточаются регулирующими органами.
Приведу в пример Internet of Things Cybersecurity Improvement Act, принятый в США.
Документ определяет стандарты для встроенных устройств, подключенных к правительственным компьютерным сетям США. Насколько мне известно, требования в нем самые базовые: такие устройства не должны использовать известные предустановленные пароли и не должны содержать уже известные уязвимости, т.е. должны быть «пропатчены», если это необходимо.
Какие инциденты последнего времени в сфере кибербезопасности вы выделяете особо?
Алексей Лукацкий: Основные инциденты, произошедшие за последние два-три года – это в случае с консьюмерским Интернетом вещей бот-сети Mirai Амнезия, Hajime, BrickerBot, Persira, показавшие, чего можно достичь, взломав мелкие и ничего из себя не представляющие устройства. В промышленном IoT инциденты более серьезные – WannaCry, Neytya, энергосистема Украины, дамба в США, АЭС в Корее.
Отмечу, что наиболее плохо дела обстоят в потребительском сегменте Интернета вещей. Пользователи ничего не могут предпринять для защиты, это задача вендора.
В первую очередь пользователи применяют технологии Интернета вещей для удобства, а безопасность для них не столь значимый критерий. Вендоры тоже не особо беспокоятся о обеспечении безопасности пользователей, потому что запросов на рынке мало, а желание выйти на рынок и поскорее занять свою долю рынка очень большое.
Злоумышленники не ориентируются на пользовательский IoT: в этом сегменте им пока не удается заработать больших денег. Пока регулятор не станет штрафовать, принуждать к соблюдению рекомендованных требований для защиты IoT-устройств от взлома, рынок с мертвой точки не сдвинется. Когда начнутся поистине колоссальные проблемы в сфере кибербезопасности пользовательского IoT (например, смерти людей от взлома автомобиля на ходу или взлома кардиостимулятора), тогда вендоры задумаются об обеспечении эффективной защиты. Это будет либо условием их существования на рынке, либо конкурентным преимуществом.
Пока же ни пользователям, ни вендорам пользовательского IoT соблюдение безопасности не очень-то и нужно.
Алексей Коняев: Основные инциденты ИБ в сфере IoT на данный момент связаны с использованием постоянно включенных в сеть «домашних» устройств для осуществления DDoS-атак на сторонние сервисы, а нашумевшим тому примером была атака на страницу одного из блоггеров.
Однако с развитием технологий IoT, очевидно, будет расти количество инцидентов, связанных с нарушением приватности: используемые по дефолту пароли и доступные из интернета интерфейсы управления с типичными веб-уязвимостями – все это делает доступ к IoT-устройствам достаточно простым.
Например, совсем недавно было объявлено об обнаружении уязвимости, позволяющей создать поддельную учетную запись для управления умными устройствами LG. Уязвимости в приложениях LG SmartThinkQ позволили удаленно войти в облачное приложение и, завладев учетной записью LG, получить контроль над пылесосом и встроенной в него видеокамерой. Очевидно, что дело тут не в самом пылесосе или его камере - злоумышленник может контролировать любое устройство, связанное с этой учетной записью.
Денис Легезо: Одна из крупнейших DDoS-атак на компанию Dyn в 2016 году была осуществлена со встроенных устройств. А это уже "тяжелая" интернет-инфраструктура. Еще несколько лет назад DDoS-атака такой мощности считалась критической для существования сети. В 2016 году сеть выстояла, но пользователи эту атаку заметили и запомнили хорошо. Насчет возможных атак на промышленные объекты – здесь возможно многое. Известно, например, о случаях вывода из строя центрифуг на атомной станции, перебоях в обеспечении бытовой электроэнергией, а также вмешательстве в техпроцесс на сталелитейном производстве.
Кроме ботнетов Mirai, Hajime еще находили уязвимость в gSOAP. Однако, честно говоря, уязвимости в IoT чаще показывают исследователи, чем происходят реальные атаки. Для криминала здесь кроме DDoS и кроптолокеров не очевидна коммерциализация их усилий.
Эксперты по информационной безопасности считают, что необходимо сосредоточиться на обеспечении безопасности подключенных к сети медицинских устройств, автомобилей и прочих устройств, непосредственно влияющих на жизнь и безопасность человека. В этом плане я с ними солидарен.
Какие кардинальные изменения могут произойти в сегменте безопасности Интернета вещей в 2018 году?
Алексей Лукацкий: Думаю, что в промышленном IoT изменения будут в первую очередь связаны с реализацией нового закона о безопасности критических инфраструктур, который вступает в силу с 1-го января. Он же будет и драйвером роста. А вот в консьюмерском сегменте каких-то прорывов ждать не приходится, производители будут заняты задачами захвата рынка, а не защиты своих изделий.
Алексей Коняев: Несколько лет назад Еврокомиссии задумалась о создании обязательной сертификации для всех подключаемых к интернету приборов. При этом, речь идет не только о создании формального документа, призванного систематизировать отношения производителей IoT девайсов к обеспечению безопасности таких устройств, но и о создании некоей структуры, которая следила бы за производством таких устройств с заранее заданным уровнем безопасности «по умолчанию». Так, например, предлагается снабжать такие устройства специальным чипом, который позволит устройству работать только при выполнении определенных сетевых настроек, областей, времени их использования и пр.
Идея кажется здравой, но будет иметь смысл только в случае стандартизации платформ, обеспечивающих работу IoT устройств, как это в свое время произошло с ОС для настольных компьютеров и в дальнейшем – для мобильных устройств. Возможности такой платформы должны быть всем понятны: и производителям устройств, и обслуживающих их ПО, и производителям ПО для обеспечения кибербезопасности.
Денис Легезо: Кардинально за год ничего не изменится, будут ужесточаться связанные с ИБ правила для производителей устройств. Возможно, мы еще услышим о паре заметных ботнетов на ARM/MIPS-устройствах, паре троянцев для SCADA. Может быть появится «успешный» криптолокер для встроенных систем. Общий тренд понятен - чем больше мы зависим от техники, тем больше эту технику будут атаковать для получения выгоды. Про возможности коммерциализации атак, как я уже говорил - они пока ограничены (DDoS, криптолокеры), а вот возможности для шпионажа с помощью зараженных встроенных устройств с микрофонами и камерами на борту - более чем широкие.
Назад