Длинный перечень кибератак, взломов и блокировок, имевших место в 2016 году, бросает чёрную тень на коллективное желание внедрения инноваций. Распространение Интернета вещей (IoT) способствовало появлению абсолютно новых киберугроз, что стало возможным ввиду слабого уровня безопасности IoT-устройств. Повернуть время вспять и вернуться к простым технологиям уже невозможно: Интернет вещей – путь в будущее. Но проблемы безопасности необходимо решать.
До недавнего времени приоритетом для большинства участников рынка была скорость внедрения, минимизация расходов и простота эксплуатации IoT-решений. Всё вышеперечисленное крайне важно для успеха бизнес-проекта. Но как показал прошлый год, сконцентрировав внимание на выполнении этих задач, компании напрочь забыли обо всех требованиях безопасности, в частности, требованиях ИБ.
Не секрет, что среднестатистическому потребителю нужны недорогие, несложные новые гаджеты, действующие по принципу «включил – работает»: камеры наблюдения с системой удаленного контроля, радионяни, бытовая техника с автоматическими настройками. В условиях жёсткой конкуренции компании-производители стараются удовлетворить практически любые запросы потенциальных покупателей с целью остаться на рынке. Подобная ситуация способствует активному внедрению инновационных технологий.
Когда речь заходит о расходах на разработку, изготовление, внедрение и обеспечение безопасности подобных устройств, производителям стоит задуматься о необходимости пересмотра приоритетов в области IoT.
Существуют некоторые противоречия между понятием «Интернет», предназначенный для обмена информацией между пользователями, и понятием «гаджеты и технологии Интернета вещей» с точки зрения повышения уровня персонификации, сбора и использования данных, попадающих в категорию конфиденциальных.
К сожалению, производители IoT-гаджетов сосредотачивают внимание на возможности подключения к Интернету практически забывая о необходимости обеспечения безопасности обрабатываемых ими данных. Однако технологии безопасности устройств и систем, работающих в Интернете вещей вполне сопоставимы с классическими технологиями ИБ. Поэтому серьёзной причины для низкого уровня безопасности в Интернете вещей нет. Понятно, что легче переложить ответственность на следующего участника цепочки Интернета вещей. В конечном счёте ответственность за безопасность гаджетов или услуг ложится на конечного пользователя, который не всегда знает, что необходимо делать.
Говоря о повышении уровня безопасности Интернета вещей, очень часто имеют в виду бизнес-риски: «Вам же не хочется стать героем нового скандала, связанного с кибербезопасностью. Вы потеряете клиентов, заплатите штрафы и неустойки. Это может негативно повлиять на дальнейшее развитие компании».
Такая постановка вопроса не совсем верна. По мнению гуру кибербезопасности Брюса Шнеера, технологии Интернета вещей дают возможность прямого (физического) влияния на окружающую действительность.
Ранее целью киберпреступников, как правило, были данные. Сегодня целью кибератак может стать плоть, сталь и бетон… Интернет вещей даёт возможности для кибератак, которые раньше немыслимо было даже представить.
Принимая во внимание массу возможностей для взлома электрооборудования автомобилей и термостатов, было бы кощунством говорить, что экосистеме Интернета вещей нужно просто обращать большее внимание на вопросы конфиденциальности и безопасности. Моральная обязанность производителей гаджетов и технологий для Интернета вещей – в соблюдении общепринятых стандартов безопасности, внедрении процедур и регуляторных механизмов для предотвращения несанкционированного доступа к гаджетам, подключенным к Интернету, а также минимизация возможного ущерба.
По мнению г-на Шнеера, незащищенные устройства Интернета вещей могут причинить непоправимый физический ущерб человеку, группам лиц, государствам и миру в целом. Неужели кто-то действительно хочет стать создателем гаджета, который станет причиной ущерба или смерти?
Безопасность – категорический императив Интернета вещей. Многие компании это понимают и никогда не отказываются от своих обязанностей. Но такое понимание должно быть абсолютным. Безопасность должна стать краеугольным камнем разработки любых IoT-устройств и сопутствующих систем.
Все участники цепочки должны работать в унисон – изучать принципы безопасности.
С целью укрепления принципов конфиденциальности и безопасности эксперты разработали базовый список требований к надежности наиболее распространенных IoT-устройств.
Абсолютной безопасности добиться практически невозможно. Всегда будут находиться люди, желающие взломать то или иное IoT-устройство. Наша цель – максимально усложнить задачу злоумышленникам. Производители IoT-устройств и IoT-провайдеры обязаны уделять достаточно внимания безопасности предлагаемых решений, оперативно устраняя возникающие проблемы.
Помните, если какое-либо решение не отвечает базовым требованиям ИБ, ему не место в Интернете.
