Интернет вещей создает невероятные возможности для бизнеса, государственных структур, обучения и граждан. Но использование подобных возможностей требует внимательного анализа новых рисков информационной безопасности. Недаром многие аналитики отмечают, что рост к 2020 г. до 50 млрд IoT-устройств приведет не только к появлению новых устройств, но и новых потенциальных проблем в ИБ. Причем сегодня мы можем даже не иметь представления о новых атаках, которые появятся с расширением использования IoT в нашей жизни. Многие из IoT-устройств находятся в незащищенных и слабо контролируемых местах, таких как улицы, жилые дома, мосты и т. п., и, конечно же, представляют собой желанную цель для хакеров. Им ничего не стоит вмешаться в работу устройства, установленного в чистом поле. Следовательно, хозяину устройства необходимо четко представлять, какие данные пришли от устройства, от какого именно устройства, где находится устройство и стоит ли доверять этим данным.
Нормативы
Отчасти ответить на такие вопросы поможет документ с описанием модели угроз. Наличие оформленной модели угроз должно быть осознанной необходимостью в компаниях и организациях. Однако регуляторы, в свою очередь, формируют такую необходимость путем ряда нормативных документов, содержащих требования к созданию формального документа с описанием модели угроз. Например, Закон № 187-ФЗ, приказы ФСТЭК № 31, 235 и 239, СТО БР ИББС и т. д.
Указанные нормативные документы содержат требования к модели угроз. Например, приказ ФСТЭК № 31 (защита АСУТП на КВО) регламентирует следующее наполнение.
Модель угроз безопасности информации должна содержать описание автоматизированной системы управления и угроз безопасности информации для каждого из уровней автоматизированной системы управления, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов (сценариев) реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (доступности, целостности, конфиденциальности) и штатного режима функционирования автоматизированной системы управления.
Таким образом, модель угроз должна содержать:
- описание системы управления;
- описание угроз безопасности;
- модель нарушителя;
- возможные уязвимости;
- способы реализации угроз;
- последствия от нарушения свойств безопасности информации;
- последствия от нарушения штатного режима функционирования.
Заметим, что приказ ФСТЭК регламентирует описание угроз безопасности для каждого из уровней АСУ (уровни описаны в приказе), для чего разумно на первом этапе (описание системы управления) привести функциональное описание системы, включающее все ее компоненты.
В помощь при составлении модели угроз регуляторы разработали ряд методических документов. Поэтому в статье мы не будем изобретать велосипед, а проанализируем способы минимизации негативного воздействия на IoT-систему – устранение некоторых векторов угроз и нивелирование действий нарушителей.
Примеры моделирования
Прежде всего при разработке модели угроз необходимо понимание, под действие каких нормативных документов регуляторов подпадает IoT-система. Рассмотрим несколько примеров.
Управление
Автоматизированная система управления наружным освещением (АСУНО) управляет светильниками на мачтах городского освещения и наблюдает за их состоянием. Рассматриваемая система основана на управлении индивидуальными светодиодными светильниками и использует перспективную технологию беспроводной связи для IoT-устройств LoRa WAN. Состоит из контроллеров, встроенных в светильники на мачтах городского освещения, базовых станций LoRa WAN, установленных по городу, и серверного ПО, установленного в ЦОД за физическим периметром Горсвета.
Персональных данных в АСУНО нет, поэтому к ней можно применить действие одного из двух документов – приказа ФСТЭК № 31 или № 239 – и разрабатывать модель угроз в соответствии с методическими материалами.
Посмотрим, какие угрозы могут быть реализованы и какие типы нарушителей присутствуют в АСУНО. Функциональная схема АСУНО предполагает, что в контроллерах светильников «зашито» расписание включения и выключения светильника в зависимости от сезона, диммирования светильников в зависимости от времени суток. От контроллера светильника передается информация о состоянии его светодиодов и потребляемой электроэнергии, и диспетчер может подать принудительную команду на включение, выключение или диммирование светильников.
Природа АСУНО, передаваемые в ней данные и использование для передачи технологии LoRa WAN отсеивают внешних нарушителей с низким и средним потенциалами – делают их нерелевантными для АСУНО. Важно помнить, что в рамках LoRa WAN доступны два варианта активации оконечных IoT-устройств: активация по воздуху (Over-The-Air Activation – OTAA) и ручная активация (Activation-By-Personalisation – ABP). Разумеется, сложно представить себе хакера, взбирающегося вверх по мачте городского освещения, чтобы украсть оконечное оборудования и слить из него ключи шифрования. Тем не менее лучше использовать первый способ активации, поскольку он обеспечивает больший уровень безопасности, особенно в случае установки оконечных устройств в неконтролируемых локациях. При получении доступа к базовой станции нарушитель может получить максимум адрес сервера управления базовыми станциями (который часто можно узнать из публичных источников). Поэтому базовые станции LoRa WAN нужно располагать в контролируемых локациях, которые исключают кражу устройств, и основным мотивом к этому является защита собственности и обеспечение непрерывности связи.
Таким образом, основным каналом доступа к АСУНО для нарушителей остается доступ к информационным ресурсам в ЦОД. Здесь встретить нарушителей (как внутренних, так и внешних) во всеоружии помогут руководства по проектированию Cisco SAFE, нацеленные на обеспечение безопасности на предприятии с учетом современных угроз и средств защиты.
А теперь зададим себе самый важный вопрос: зачем нарушителям получать несанкционированный доступ к АСУНО и какой ущерб они могут нанести? Вопрос важен потому, что необходимо соблюдать экономическую целесообразность при выборе средств защиты. ЦОД, как правило, является разделяемым ресурсом, его мощности используются множеством информационных систем, и АСУНО относится к их числу. Поэтому ЦОД нужно защищать, руководствуясь комплексным анализом всех информационных систем, представленных в нем. Такая защита автоматически защитит и серверные ресурсы АСУНО. Уличные компоненты АСУНО надежно защищены от внедрения нарушителей использованием технологий LoRa WAN, и нужно лишь обеспечить должный уровень физической защиты базовых станций (в большей степени не от нарушителей ИБ, а от воров, которые смогут перепродать или использовать станции в своих информационных системах).
Учет и контроль
Следующий пример: автоматизированная система сбора информации с приборов учета (вода, электроэнергия, газ, тепло), например автоматизированная система контроля и учета электроэнергии (АСКУЭ). Она, как правило, представляет собой трехуровневую систему, состоящую из следующих компонентов.
- Диспетчерское управление (верхний уровень), представленное централизованной системой сбора и обработки информации, которая принимает данные от приборов учета, анализирует и визуализирует полученную информацию, отображает данные в ГИС ЖКХ.
- Сеть связи (средний уровень), которая предназначена для передачи данных от приборов учета в диспетчерский центр. Может быть построена на различных технологиях передачи данных, в основном на беспроводных либо на комбинации проводных и беспроводных технологий (от нескольких абонентских счетчиков идет проводное подключение до концентратора, который передает информацию в диспетчерский центр по беспроводной связи).
- Интеллектуальные приборы учета электроэнергии с цифровыми выходами (низший уровень).
С одной стороны, к АСКУЭ можно применить положения приказов ФСТЭК № 31 или № 239, с другой стороны, в учетной системе могут находиться персональные данные и она может подключаться к ГИС ЖКХ, что обусловливает применение к ней в том числе и нормативных актов Законов № 152-ФЗ «О персональных данных» и № 149-ФЗ, который определяет требования к государственным информационным системам. Таким образом, в отличие от предыдущего примера на основе АСУНО к АСКУЭ может применяться больший спектр нормативной и методической документации. А значит, в модели угроз АСКУЭ приходится анализировать больший масштаб угроз и больше субъектов защиты.
Рассмотрим векторы угроз для АСКУЭ, применяя принцип экономической целесообразности. Теоретически нарушитель может внедриться в систему для искажения передаваемой от счетчика информации или изменения расписания для многотарифных счетчиков. Однако экономический эффект от подобных угроз несравнимо меньше затрат на внедрение в систему. К тому же бдительные потребители услуг смогут максимум через месяц выявить отклонения от традиционного профиля потребления и обратиться в снабжающую организацию, после чего будет выявлена причина изменений, которая приведет к закрытию лазейки для нарушителя. Учитывая копеечную стоимость электроэнергии для абонентов, экономический эффект от подобных действий для нарушителя может быть негативным. Кроме того, снабжающая организация традиционно проводит хотя бы раз в год сверку показаний приборов учета, что является еще одной мерой по обеспечению косвенной защиты от угроз манипуляции с показаниями счетчиков.
Самыми привлекательными в АСКУЭ для нарушителей являются персональные данные абонентов, которые можно использовать в различных целях. Поэтому основные векторы угроз в АСКУЭ направлены на верхний уровень – подсистемы работы с персональными данными и ГИС ЖКХ. Особое внимание следует обратить на внутренних нарушителей с любым потенциалом и на внешних нарушителей с потенциалом не ниже среднего.
Заключение
В своей статье мы попытались рассмотреть на примерах простых IoT-систем способы минимизации негативного воздействия различных угроз и нивелирования действий нарушителей. И, как мы увидели, в некоторых случаях как технологии, заложенные в IoT-системы, так и сама природа IoT-систем защищают их от проникновения нарушителей. Но подобное состояние характерно для текущего уровня проникновения IoT в нашу жизнь и в основном распространяется на средний и нижний уровни информационных систем. В то же время верхний уровень (ЦОД, центральный узел сбора и обработки информации, диспетчерский центр и т. п.) по-прежнему остается лакомым кусочком в IoT для нарушителей, и основные векторы атак на ближайшее будущее вряд ли выйдут за пределы верхнего уровня. Единственное исключение из описанной картины – это системы АСУ ТП на предприятиях, особенно на потенциально опасных объектах. Но их защита требует более подробного рассмотрения нормативной документации по критической информационной инфраструктуре.