Необходимо «обучить» все устройства безопасности в Интернете вещей

Количество угроз, связанных с применением технологий Интернета вещей, растет год от года ввиду роста количества IoT-устройств. По мнению Алексея Константинова, эксперта по кибербезопасности компании Zecurion, меньше всего готовы к внедрению технологии IoT государственные и B2B-компании. В то же время предприятия, использующие технологии Интернета вещей или выпускающие IoT-устройства, не заинтересованы в трате средств и времени на защиту, если этого не требует общество или государство.

Стоит ли ожидать роста количества угроз, связанных с повсеместным распространением Интернета вещей?

Можно утверждать, что количество угроз, связанное с IoT, показывает экспоненциальный рост, т. е. сопоставимый с ростом количества устройств (до 8–10 млрд устройств за последние 10 лет). Это быстрее чем развитие «классического» интернета за все 47 лет (3,2 млрд пользователей).

В апрельском исследовании Neustar DDoS Attacks & Protection Report отмечается, что за 2015 год 81% организаций, внедривших IoT, стали жертвами DDoS‑атак, а у 43% похитили деньги и конфиденциальные данные из-за брешей в безопасности применяемых IoT-решений. 73% организациям принесли репутационный вред. В 2015 финансовые потери и затраты для компаний на организацию защиты стали настоящим вызовом.

Конечно, количество угроз увеличивается год от года. В любом новом устройстве есть уязвимости, и если хакеры находят их при тестировании, то они пишут программу для взлома этих самых устройств.

Наличие большого количества уязвимостей говорит о халатном отношении разработчиков к безопасности конечных потребителей. Количество производителей и конкуренция в сфере IoT растёт опережающими рынок темпами, и в основном это разовые самописные продукты, основанные на опенсорсных ОС. Разработка качественной защиты и тестирование продуктов несёт за собой внушительные издержки для мелких компаний-производителей.

Злоумышленникам прежде всего интересны крупные базы данных, имеющих какую-то ценность, которые можно монетизировать, персональные данные (ПДн), на которые всегда найдётся покупатель на чёрном рынке, независимо от цены. Если говорит о сфере деятельности, то безусловно финансовый сектор у мошенников на первом месте.

Какой из инцидентов за последнее время вы могли бы отнести к наиболее громким?

Не так давно в статье компании Arbot Networks был описан случай с ботнетом, основанном на IoT-устройствах, (в основном камеры наблюдения) которые управлялись через специализированное хакерское ПО LizardStresser. Этот ботнет запустил атаку в 400Гбит/с, что сопоставимо с трафиком в часы пик у провайдеров верхнего уровня, т. е. критической инфраструктуры интернет (~1500 Гбит/с в часы пиковых нагрузок). На базе lizardstresser сейчас работают более 100 ботнетов, но для организации трафика в 400 Гбит/с, требуется около 10–15 тыс. взломанных устройств одновременно.

Можно ли сделать устройство изначально защищенным, чтобы минимизировать возможные риски?

Это, скорее всего, вопрос этики. Чтобы минимизировать риски, необходимо внедрять стандарты производства и контроль качества продуктов. Для этого требуются целый отряд экспертов, которые смогут полноценно протестировать продукт. Впрочем, если настраивать данное устройство будет монтажник, который его устанавливал, то риски никуда не исчезнут, ведь по статистике не менее трети захваченных устройств настраиваются с паролем, типа: «12345678», который задан по умолчанию.

В любом случае крупнейшие производители с завидной постоянностью находят уязвимости в своих продуктах, им помогают в этом хакеры или энтузиасты, так называемые «белые» хакеры, которые ищут уязвимости за вознаграждение. Отличие только в том, что крупные предприятия продолжают длительную поддержку своих продуктов и стараются устранять бреши в кротчайшие сроки.

Стоит ли ожидать появления унифицированных средств защиты или антивирусов для оборудования Интернета вещей?

Дело в том, что уже существуют шлюзовые антивирусы, защищающие сетевые устройства. Эти антивирусы наряду с другими средствами защиты существуют и применяются на предприятиях, например, IPS-системы (для защиты от проникновений), DLP-системы (для защиты конфиденциальных данных от утечек), системы предотвращения и защиты от DDoS и 0-day угроз и т. д.

С другой стороны, необходимо понимать и учитывать, что антивирус, и другие системы — это лишь одно средство из комплекса, которые необходимо применять для выстраивания защиты организации. И при всей защищённости инфраструктуры, нельзя допускать, чтобы IoT‑устройства и их ПО несли в себе давно известные бреши, а значит возможности их эксплуатации и популяризацию.

Какие отрасли сейчас наиболее готовы к применению технологий Интернета вещей, а какие – менее подготовленные?

Спектр применения технологии невероятно широк, а среди наиболее готовых предприятий можно выделить логистические и сервисные компании, оказывающие интерактивные услуги высокого качества. Сегодня мало кого удивишь сервисом, а в некоторых случаях необходимо отслеживать свой заказ или процесс оказания услуг в онлайн-режиме, например, точно рассчитать время, которое уйдёт на весь цикл ремонта автомобиля, начиная от заказа механиком необходимой запчасти со склада. Меньше всего готовы к внедрению технологии IoT государственные и B2B-компании, это напрямую связано с вопросами безопасности и репутационными рисками.

Является ли безопасность – главным фактором, на который обращают внимания предприятия перед внедрением технологий Интернета вещей?

Предприятия, все без исключения, в первую очередь интересует финансовая выгода и окупаемость инвестиций от внедрения IoT-технологий. О безопасности, исходя из практики, начинают задумываться либо, когда нанесён реальный ущерб. Особенно это касается режимных предприятий, инвестиционных и консалтинговых компаний.

Какие факторы ускорят процесс создания надежных инструментов по защите данных, передаваемых в сетях Интернета вещей?

Главным фактором ускорения создания инструментов защиты всегда выступала необходимость такой защиты. Отсутствие регламентирующих отрасль стандартов, регуляции со стороны государства и малоэффективное законотворчество — главные причины, тормозящие процесс создания подобных инструментов. Никому не интересно тратить средства и время на защиту, если этого не требует общество или государство. Однозначно, так же как любая новая технология, IoT без регуляции станет очень эффективным орудием злоумышленников. Вполне допускаю, что доступность технических средств для проведения, например, DDoS-атак, даст инструмент для отключения интернета в какой-нибудь стране с уязвимой инфраструктурой Интернета.

Какие современные решения для обеспечения безопасности в Интернете вещей вы считаете эффективными?

Сегодня наиболее эффективные решения для защищённой передачи данных связаны с шифрованием и поведенческим анализом, т. е. чтобы глобально защитить передачу данных, необходимо «обучить» все IoT устройства шифровать и расшифровывать соединения и хранимые на них данные, диагностировать поведение и предотвращать нестандартные взаимодействия устройств между собой. Например, «умный обогреватель» не должен устанавливать соединения с «умным холодильником» и запрашивать у него данные вашей кредитки, необходимые для автоматического заказа продуктов с доставкой на дом.

Россия сильно отстаёт от других государств в сферах разработки стандартов для новых технологий и подходов к защите данных. Организации в России не несут ответственности за персональные данные потребителей, хотя даже в Казахстане штрафуют за утечку ПДн. В России штраф предусмотрен лишь в случае отсутствия средств защиты ПДн, однако для бизнеса сейчас выгоднее заплатить штраф, чем организовывать защиту данных клиента.

Какие тренды (мировые, локальные) в целом будут определять процессы в сфере развития технологий информационной безопасности для промышленного Интернета вещей?

Ключевыми российскими трендами ИБ для промышленных IoT в среднесрочной перспективе (два-три года) будет фокусировка на первоочередных нуждах предприятий, т. е. непрерывности бизнес-процессов, управлении рисками и расследовании инцидентов.

Для мировых промышленных IoT трендом локомотивом будет выступать выполнение норм регуляторов и соответствие адаптированным стандартам безопасности ISO 27000.

Беседовал Виталий Мосеев