В круглом столе принимают участие
Андрей Бирюков, руководитель группы защиты АСУ ТП, ДИБ «АМТ-ГРУП» | |
Сергей Кикило, эксперт направления IoT, руководитель группы сетевой инфраструктуры, «ICL Системные технологии» | |
Дмитрий Михеев, руководитель Департамента информационных технологий, ООО «АйТи БАСТИОН» |
- Как обстоят дела с безопасностью IoT-решений в России и мире? Какие стандарты безопасности Интернета вещей, по вашему мнению, превалируют?
Андрей Бирюков
В России весной 2019 г. был принят предварительный стандарт РФ ПНСТ-2019, также называемый Российским стандартом для Интернета вещей. Этот стандарт определяет протокол беспроводной передачи данных NB-Fi, однако используемые в нем механизмы обеспечения безопасности имеют ряд уязвимостей. И кроме того, он реализован лишь на одном типе микроконтроллеров.
В Европе существует стандарт Европейского института телекоммуникационных стандартов (ETSI) TS 103 645, определяющий базовый уровень безопасности для подключенных к Интернету устройств, а также основу для будущих схем сертификации IoT. На текущий момент этот стандарт мало отличается от общих стандартов обеспечения информационной безопасности и ориентирован преимущественно на соблюдение требований GDPR в части хранения и обработки персональных данных. Документ TS 103 645 требует серьезной доработки с учетом специфики именно Интернета вещей.
Сергей Кикило
Интернет вещей – область новая и динамически развивающаяся. Поэтому большого количества стандартов по обеспечению безопасности для Интернета вещей в мире нет. Однако в связи с увеличением значимости Интернета вещей для производства и социальной сферы 20 февраля 2019 г. Европейский институт телекоммуникационных стандартов принял документ ETSI TS 103 645, описывающий подходы по обеспечению информационной безопасности для Интернета вещей. В России принят Закон № 187-ФЗ «О защите КИИ» и несколько подзаконных актов для его реализации, таких как приказ ФСТЭК России № 239, приказ Минкомсвязи № 113 от 29.03.2019 г. об утверждении «Концепции построения и развития узкополосных беспроводных сетей связи «Интернета вещей» на территории РФ», а также первомайский Закон № 90-ФЗ «О внесении изменений в Федеральный закон «О связи» и Федеральный закон «Об информации, информационных технологиях и о защите информации», получивший название в народе «Закон о суверенном Интернете». На территории Российской Федерации, разумеется, превалируют отечественные законы и стандарты.
- Насколько в российских проектах, связанных с IoT, учитываются требования безопасности? Оцените дополнительную стоимость безопасности IoT-решений.
Андрей Бирюков
На сегодняшний день вопросам безопасности в проектах IoT уделяется недостаточно внимания, из-за того что сейчас разработчики устройств Интернета вещей стремятся обеспечить максимальную функциональность своих решений, зачастую в ущерб безопасности. Общую оценку дополнительной стоимости сделать довольно сложно, так как необходимо рассматривать каждый отдельный случай. Но, несомненно, необходимо обеспечение шифрования канала связи между устройствами IoT, что неизбежно приведет к дополнительным расходам как на вычислительные мощности устройств, так и на пропускную способность каналов связи.
Сергей Кикило
Требования по безопасности учитываются не всегда. Во-первых, потому что IoT обычно занимаются ИТ-подразделения, а функции по обеспечению ИБ в список их должностных задач не входят. Во-вторых, потому что между службами ИТ и ИБ бывает конфликт интересов: решения по безопасности всегда усложняют работу ИТ-систем, поскольку дополняют их средствами защиты информации, которые находятся в зоне ответственности службы ИБ. Все это затрудняет администрирование ИТ-системы. Хорошей практикой решения проблемы является подход крупных организаций. В свою внутреннюю нормативную документацию они включают требование о необходимости разработки раздела «Информационная безопасность» для каждой создаваемой информационной системы. Стоимость решений ИБ для IoT зависит от зрелости компании. Если в компании уже есть контур ИБ, то решение IoT можно встроить в него. Затраты будут минимальны. Если такого контура нет, придется строить ИБ с нуля. Это будет дороже.
- Какова, по вашему мнению, должна быть архитектура обеспечения безопасности IoT-решений: все функции защиты должны быть реализованы на устройстве, необходим удаленный контроллер безопасности или лучше пользоваться наложенными проверенными средствами защиты?
Андрей Бирюков
Реализовать все функции защиты на устройстве, как правило, сложно, поскольку вычислительные ресурсы тратятся на выполнение тех задач, для которых они предназначены, а реализация всех механизмов неизменно приведет к деградации производительности. Поэтому наиболее приемлемым было бы реализовать на IoT-устройстве защищенное взаимодействие с контроллером безопасности, а уже на нем реализовать необходимые функции ИБ. Для использования наложенных средств защиты необходимо, чтобы они были совместимы с IoT-решением в части интеграции с самими устройствами, что в настоящее время практически невыполнимо.
Сергей Кикило
Не совсем корректная постановка вопроса. Функции ИБ, выполняемые на конечных устройствах, и наложенные средства защиты не должны и не могут физически замещать друг друга. Они должны друг друга дополнять. Вот, например, можно ли при помощи наложенного средства защиты разграничить привилегии пользователей внутри IoT-устройства? Конечно же, нет, поскольку в данном случае мы говорим о функциях приложения. И в то же время: сможет ли IoT-устройство выполнять функции, скажем, средства обнаружения вторжения? Тоже нет. Поэтому встроенные функции обеспечения безопасности должны дополняться наложенными средствами защиты. Только так можно по-настоящему защитить систему.
Дмитрий Михеев
Безопасность любых решений обеспечивается только при системном подходе к этой задаче. Выполнение задач безопасности на высоком уровне потребует и проектирования решений с учетом требований конфиденциальности, целостности и доступности, и применения выработанных на основе опыта конфигураций, и встроенных и внешних средств защиты. Так получилось, что приходится строить сложные информационные системы, составляя их из разных компонентов. Устойчивость сложной системы во многом зависит от устойчивости отдельных составляющих и того, насколько квалифицированно их применяют. Не думаю, что существует какой-то один-единственный «нефритово-яшмовый» лучший подход, который решает все на свете проблемы безопасности. Факт в том, что требования безопасности необходимо учитывать при проектировании, применять различные средства защиты и инвестировать в специалистов, которые проектируют, внедряют, эксплуатируют и аттестуют достигнутые результаты. В действительности безопасность в первую очередь обеспечивают люди.
- Какие требования безопасности в большей степени повлияют на дальнейшее развитие IoT-продуктов и решений? Появится ли отдельный сегмент средств защиты для Интернета вещей или сами вещи станут безопасными?
Андрей Бирюков
Так как для своей работы устройства IoT используют преимущественно беспроводные каналы связи, основными требованиями будет обеспечение их защиты и бесперебойной работы. Также потребуются средства для централизованного управления и мониторинга безопасности устройств IoT. Вероятно, в ближайшем будущем появится отдельный сегмент решений для обеспечения защиты Интернета вещей, в котором будут присутствовать специализированные решения для защиты IoT.
Сергей Кикило
Промышленность семимильными шагами движется в сторону цифрового всего. Общепризнанный факт, что именно Интернет вещей является движущей силой развития таких цифровых технологий, как машинное обучение и искусственный интеллект. Для ИТ-инфраструктуры это означает что Интернет вещей становиться одним из ключевых источников данных для аналитических и статистических систем, т. е. частью многих объектов ключевой информационной инфраструктуры. Таким образом, на развитие Интернета вещей сильно повлияют Закон № 187-ФЗ и приказ ФСТЭК России № 239. Также не стоит забывать о приказе Минкомсвязи № 113 от 29.03.2019 г. об утверждении Концепции построения и развития узкополосных беспроводных сетей связи «Интернета вещей» на территории РФ и Законе № 90-ФЗ. Полагаю, что с развитием Интернета вещей и выходом новых стандартов по защите технологий IoT, безопасными станут сами вещи, ведь именно ОС в самих IoT-устройствах сейчас имеет много не закрытых дыр.
- Достаточен ли ассортимент решений по защите IoT, доступных на российском рынке? Каких продуктов, по вашему мнению, не хватает?
Андрей Бирюков
На рынке необходимо больше решений, позволяющих осуществлять обнаружение аномалий, обнаружение активов, анализ поведения устройств. Имеющиеся на сегодняшний день решения поддерживают не все распространенные протоколы Интернета вещей.
Сергей Кикило
В настоящее время решений на рынке безопасности великое множество и их достаточно для закрытия большинства современных угроз. При этом не важно, направлены ли угрозы на решения Интернета вещей или на обычные ИТ-инфраструктуры. Интернету вещей в первую очередь не хватает защищенной встраиваемой операционной системы. Создать такую систему и сделать ее масштабируемой крайне сложно, поскольку к умным вещам в первую очередь предъявляются высокие требования по автономности. Например, устройство, которое должно работать в условиях Крайнего Севера от батарейки в течении 5 лет. В таком случае любая дополнительная функция, выполняемая устройством, приведет к снижению срока автономной работы. Однако определенные подвижки в данном направлении у ряда производителей есть.
- Насколько, по вашим оценкам, предлагаемые в России решения IIoT соответствуют требованиям Закона № 187-ФЗ «О безопасности КИИ»? Как организовать взаимодействие систем IIoT со средствами ГосСОПКА?
Андрей Бирюков
Для соответствия требованиям № 187-ФЗ необходимо использование наложенных средств защиты. Имеющиеся на сегодняшний день средства IIoT не удовлетворяют требованиям данного ФЗ. Взаимодействие с ГосСОПКА должно осуществляться посредством получения информации об инцидентах от средств обнаружения аномалий в промышленной сети, таких как Kaspersky ICS for Networks, PT ISIM и аналогичных решений.