«Требования бизнеса в первую очередь предъявляются к "красивой обертке"»

Требования современного бизнеса в первую очередь предъявляются не к безопасности, а к «красивой обертке» и скорости вывода продукта на рынок. В то же время производители оборудования, использующие «сырые» решения для Интернета вещей, рискуют безопасностью конечных пользователей. Об этом в интервью iot.ru рассказал Дмитрий Огородников, директор центра компетенций по информационной безопасности компании «Техносерв».

Как вы считаете, всегда ли предприятия, развертывающие решения Интернета вещей, адекватно оценивают возможные риски?

К концу 2020 г. необходимость закрывать уязвимости в IoT приведет к росту расходов на обеспечение их безопасности до 20% от годового бюджета на безопасность против менее 1% в 2015 г.

И в этом нет ничего удивительного. Требования современного бизнеса в первую очередь предъявляются к «красивой обертке» и скорости вывода продукта на рынок. При таком подходе очень часто страдает производительность и надежность новых продуктов, а про безопасность, как правило, просто забывают, реализуя какие-то базовые механизмы, либо сознательно оставляют ее на потом. При этом «масла в огонь» добавляют зачастую отсутствующие процессы безопасной разработки программного обеспечения.

Поэтому говорить об адекватной оценке рисков просто не приходится, поскольку оценка рисков проводится по методикам, связывающим угрозы, возможность их реализации (способы) и потенциальный ущерб. В случае Интернета вещей у нас как минимум нет общей модели угроз (они такиеже, как в интернете, или есть еще какие-то другие), и мы не можем оценить возможность их реализации, поскольку ничего не знаем о встроенных механизмах защиты.

Какие новые риски для предприятий несут технологии Интернета вещей?

Такое положение «вещей» в первую очередь вызвано отсутствием общих стандартов, протоколов, архитектур этих систем и их взаимодействием. Беглый взгляд на документы RFC(RFC 7452 (ArchitecturalConsiderationsinSmartObjectNetworkingи RFC 7397 (ReportfromtheSmartObjectSecurityWorkshop) показывает, что основные принципы построения Интернета вещей только начинают разрабатываться, а многое находится на уровне определений и рекомендаций – Вы должны об этом подумать сами.

Вместе с тем, подключение таких устройств как cенсоры и особенно исполнительные механизмы (Actuator), несет в себе абсолютно новые риски, а именно риски некорректного управления объектами технологических процессов или жизнеобеспечения.

Если проанализировать большинство из известных атак на объекты АСУ ТП, мы придем к выводу, что почти все они были направлены на контроллеры PLC и изменение режима работы этих устройств. Но эти контроллеры не подключаются напрямую к сети Интернет, поэтому атакующие были вынуждены атаковать управляющие системы для последующего контроля конечных устройств PLC. Но Интернет вещей создается по принципу – «все, что может подключаться, должно быть подключено» и именно к сети Интернет. При такой концепции без единых стандартов, как вы понимаете, риски возрастают многократно.

Как вы считаете, предприятия из каких отраслей промышленности и экономики в России меньше всего готовы к развертыванию IoT? Почему?

На мой взгляд, практически никто не готов за исключением кредитно-финансовых организаций. Посудите сами: топливно-энергетический сектор и промышленные предприятия только начинают всерьез думать о безопасности АСУ ТП (крупных внедрений систем безопасности и референсов пока в России нет), а мы им предлагаем новые, не слишком пока стандартизированные и еще менее безопасные технологии.

В проектах безопасных городов или интеллектуальных городов, из-за отсутствия стандартизации сейчас невозможно объединить тысячу различных устройств от различных производителей в единую систему. Именно поэтому, кстати, сейчас большой спрос на интеграцию в мире Интернета вещей и разработку специализированного программного обеспечения. А телекоммуникационным операторам это не очень нужно, точнее они реализовывают первое из двух слов в словосочетании «Интернет вещей».

Финансовый сектор активно инвестирует в эти технологии, поскольку сейчас они в большей степени относятся к пользовательскому рынку, а именно к средствам платежей. Последняя вещь из новинок Интернета вещей – это фитнесс-браслет с встроенной технологией NFC (PayPass), позволяющей совершать покупки легким движением руки.

Какие факторы ускорят процесс создания надежных инструментов по защите данных, передаваемых в сетях Интернета вещей?

На мой взгляд, это стандартизация Интернета вещей, которая приведет к переходу от пользовательского рынка к корпоративному. Сейчас, говоря об Интернете вещей, мы в основном подразумеваем утюги, холодильники, телевизоры, розетки, лампочки и прочие предметы повседневного быта. Этот рынок развивается быстрее, поскольку стандартизация его не так важна. Пользователи покупают предметы для личного пользования, не предполагая их объединения в какие-то глобальные сети. На предприятиях такой подход  невозможен - любую технологию нужно интегрировать в существующие технологические или автоматизированные процессы. А безопасность, которая всегда относится к какому-то предмету или объекту, тем более должна быть стандартизирована и работать по единым протоколам взаимодействия в защищенном исполнении.

Чем, на ваш взгляд, могут быть опасны технологии Интернета вещей для простых потребителей?

Сейчас в мире используется порядка миллиарда устройств, подключенных к Интернету вещей, к 2020 году количество таких устройств по прогнозам увеличится до 6-7 миллиардов. При этом будут появляться принципиально новые типы устройств. Такое огромное количество устройств оперирует огромными объемами самой разной информации, совокупность которой, может представлять как «мудрость» для человека за счет процессов обмена данными между устройствами и ее анализа, так и большие проблемы, в случае ее разглашения или некорректного использования.

Согласитесь, крайне неприятно увидеть в интернете запись происходящего в собственном доме или получить неожиданный продуктовый заказ из супермаркета от «взбесившегося» холодильника или потерять страховку из-за зубной щетки, которая сообщила в страховую компанию, что вы не чистите зубы. Но впрочем, все это покажется не существенным, когда к миру IoT станут подключаться роботы с возможностью изменять окружающие предметы и, хуже того, чем-либо управлять.

Какие глобальные тенденции в сфере защиты информации, передаваемой по сетям Интернета вещей, вы можете выделить?

Компания Gartner сделала прогноз трех тенденций в этой сфере на ближайшие годы. Так, к концу 2018 г. 75% всех IoT-проектов займут до двух раз больше времени на реализацию, чем запланировано.

К 2020 г. сформируется черный рынок размером более $5 млрд, на котором будут продаваться поддельные датчики и видеозаписи, которые будут использоваться для совершения противоправных действий и для защиты частной жизни.

Произошедшие инциденты по безопасности в мире IoT за последнее время лишь подтверждают эту практику. К числу наиболее громких можно отнести удаленный взлом и получение полного контроля над автомобилем JeepCherokee, подключение к системам авиалайнера через персональное устройство мультимедиа и взлом «умной» снайперской винтовки TrackingPointTP750 через встроенный модуль Wi-Fi.

Все это приводит к тому, что после вывода продукта на рынок производители сталкиваются с необходимостью существенной доработки своих продуктов в части механизмов безопасности (что без изменения архитектуры продукта иногда просто невозможно сделать) и исправления критических уязвимостей, которые иногда в виде программных закладок создаются намеренно.  Собственно, за счет этого и увеличивается срок работы над проектом.

Беседовал Виталий Мосеев