Как обезопасить IoT
Рисунок 1: Свод практических правил для безопасности IoT потребителя. Источник: Департамент цифровой культуры, СМИ и спорта.
IoT расширяется: около 66% организаций в настоящее время используют IoT, а база установки составляет около 17 миллиардов устройств.
Аналитическая компания Gartner полагает, что расходы должны увеличиться с примерно 1,5 млрд долларов в 2018 году до более 3 млрд долларов к 2020 году, при этом, по оценкам, 30 млрд устройств возрастут до 75 млрд к 2025 году.
До недавнего времени было немного стандартов или правил для кибербезопасности устройств и систем IoT. Традиционные подходы к информационной и кибербезопасности, такие как ISO 27001 и NIST Cyber Security Framework, были разработаны для предприятий, и, несмотря на их актуальность, они не дают целенаправленного руководства, необходимого для эффективной безопасности IoT.
Интернет-инциденты Интернета вещей
Еще одна проблема заключается в том, что в спешке с разработкой и продажей устройств IoT во многих из этих продуктов отсутствовали эффективные меры безопасности. Следовательно, большое количество развернутых решений небезопасно и имеет открытые уязвимости.
Опрос Gartner 2018 показал, что почти 20% организаций видели по крайней мере одну IoT-атаку за последние три года. В 2016 году в их число входил ботнет Mirai, который скомпрометировал уязвимые устройства, такие как камеры видеонаблюдения и домашние маршрутизаторы, и был использован для выполнения ряда распределенных атак типа «отказ в обслуживании» (DDoS), в том числе на некоторых основных интернет-сервисах, в результате чего службы были недоступно для пользователей в Европе и США.
В ходе другой атаки данные клиентов были украдены из казино через небезопасный подключенный к интернету термометр в аквариуме.
За последние пару лет вредоносное ПО Brickerbot заражало устройства IoT, которые имеют низкую безопасность, и перезаписывало прошивку случайными данными, делая устройства бесполезными.
Несколько защит
В сентябре 2018 года в Калифорнии был принят закон, в котором говорится, что любой производитель устройства, которое прямо или косвенно подключается к Интернету, должен оснастить его «разумными» функциями безопасности, разработанными для предотвращения несанкционированного доступа и модификации. Федеральные законодатели США готовят как минимум пять законопроектов по кибербезопасности.
ЕС опубликовал руководство по передовому опыту и требования к безопасности, а в октябре Министерство культуры, СМИ и спорта Великобритании опубликовало Свод правил по безопасности потребительских IoT. Это продвигает 13 руководящих принципов для надлежащей безопасности IoT (рисунок 1).
В более широком ЕС, ENISA (Агентство Европейского Союза по сетевой и информационной безопасности) опубликовало Рекомендации по базовой безопасности для IoT с особым акцентом на критически важные национальные инфраструктуры. Отраслевые инициативы включают в себя Свод практических правил IoT Security Foundation, который обеспечивает основу для тестирования и сертификации безопасности IoT.
Хотя это отличное начало, проблема в том, что, в частности, в ЕС, эта практика не является обязательной. Регуляторные органы должны понять, как эффективные стандарты и методы могут быть применены прагматично. Задача производителей устройств IoT состоит в том, чтобы гарантировать, что продукты «безопасны по конструкции и по умолчанию».
Исторически сложилось так, что отрасль медленно внедряла стандарты безопасности, что приводило к необходимости регулирования. На таком активном рынке поставщики могут превратить безопасность из затрат и рутинных усилий в конкурентное преимущество. Непринятие добровольного передового опыта может вызвать чрезмерную реакцию с наложением ограничительного и строгого регулирования. Хотя официальная аккредитация или сертификация IoT еще далека, поставщики должны самостоятельно сертифицировать свои продукты и услуги. У поставщиков нет никаких оправданий для обеспечения устройств и систем непроверенной безопасностью.
Потребители IoT также должны быть более требовательными к требованиям безопасности, которые они ожидают от продуктов, и быть готовыми проверить, что им предлагают. Это даст провайдерам реальные стимулы для включения безопасности по умолчанию и по умолчанию.
Рисунок 2: Обеспечение доверия и безопасности в IoT
Даже когда отдельные продукты гарантированы или сертифицированы, комплексное решение не обязательно будет безопасным. Организации, интегрирующие или использующие решения IoT, все равно должны быть уверены, что они защищены. Это включает понимание рисков безопасности и бизнеса, обеспечение сквозной архитектуры безопасности и то, что тестирование было выполнено для соответствия всем требованиям конфиденциальности данных (рис. 2).
Интернет вещей дает очевидные бизнес-преимущества, но производителям, потребителям и регулирующим органам необходимо действовать сейчас, чтобы обеспечить надлежащую безопасность.
