Одним из самых быстрорастущих рынков сегодня является рынок Интернета вещей. Разные аналитические агентства прогнозируют стремительное развитие этой отрасли. По их оценкам, рынок может вырасти в десятки и даже сотни раз за считанные годы – до фантастической отметки в 1,7 трлн долл. Безопасно ли так насыщать свою жизнь цифровыми технологиями? Попробуем разобраться.
БЫСТРО. КАЧЕСТВЕННО. БЕЗОПАСНО. ВЫБЕРИТЕ ДВА
Для начала вспомним недавнюю историю, после которой вопрос кибербезопасности IоT стало невозможно игнорировать. В октябре 2016 г. хакеры использовали ботнет Mirai для атаки на крупнейшего оператора DNS – компанию Dyn. В результате была нарушена работа таких ИТ-гигантов, как Twitter, Netflix, Reddit, the Guardian, CNN и множество других компаний. В атаке участвовало беспрецедентное на тот момент количество устройств – более 100 тыс. Злоумышленники воспользовались известным «двигателем прогресса», а именно – ленью администраторов и операторов устройств, которые использовали учетные записи «по умолчанию», например пару логин/пароль вида admin/admin и т. п. По различным оценкам, ущерб составил около 70 млн долл., включая потери и бизнеса вследствие DDoS-атаки, и хозяев зараженных устройств, вызванные ростом энергопотребления.
Казалось бы, в чем проблема инвестировать часть упомянутых триллионов долларов в разработку средств информационной безопасности? Даже один процент от 1,7 трлн составляет 17 млрд. На эти средства теоретически можно купить «Лабораторию Касперского», Positive Technologies, Solarwinds, Skybox Security и в придачу еще пару десятков стартапов (согласно данным сайта www.crunchbase.net). Получившийся в итоге консорциум мог бы серьезно заняться проблемами кибербезопасности в Интернете вещей и приносить прибыль своим учредителям.
Проблема на самом деле лежит на поверхности. Сегодня гораздо выгоднее вкладывать деньги в разработку самих «вещей», чем в безопасность «их Интернета». Да и потребители, стоит признаться, охотнее купят холодильник с функцией заказа еды из супермаркета, чем пакет программ для защиты этого холодильника от хакеров. Весьма привлекательным направлением для инвестиций является и создание инфраструктуры для обработки и хранения данных о потребителях. Таким образом, образуется замкнутый круг: инвесторы вкладывают деньги в создание нового оборудования и в обработку пользовательской статистики, чтобы скорее выпустить новую, более интересную с точки зрения пользователей модель. Безопасность в этой схеме выглядит непривлекательно: как правило, она увеличивает стоимость разработки и выпуска продукции, негативно сказывается на скорости и удобстве работы и, как следствие, ведет к тому, что ваш безопасный «умный» чайник выйдет на рынок немного позже конкурентов.
В лучшем случае это означает упущенную прибыль, в худшем – может привести к банкротству.
Но стоит ли игнорировать безопасность в использовании «умных» вещей? Конечно, нет. Вот лишь несколько примеров сценариев, как хакеры могут испортить вам жизнь:
- взломать другие устройства в той же сети – например, получив доступ к Wi-Fi-роутеру с улицы, отключить охранную сигнализацию;
- отправить от вашего имени спам или компрометирующие сообщения;
- внедрить вирус-шифровальщик на ваш компьютер в целях получения выкупа;
- наконец, если вы – счастливый обладатель «умного» холодильника, заказать вам домой коллекцию элитного алкоголя. И хотя этот вариант лучше, чем открытая для воров дверь, вряд ли такой сюрприз будет приятным.
СПАСЕНИЕ УТОПАЮЩИХ
Означает ли вышесказанное, что пользователи безоговорочно принимают риски, связанные с безопасностью «умных» устройств, так как «игра стоит свеч»? Отнюдь нет. Согласно исследованию компании Bain & Company, проведенному весной 2018 г., почти половина пользователей IoT озабочена проблемами кибербезопасности. Респонденты отмечают, что готовы приобретать на 70% больше гаджетов, если у них будет уверенность в их безопасности. Почти все опрошенные заявили, что рост цены устройства на 15–25%, обусловленный необходимостью окупить инвестиции в безопасность, является для них приемлемой величиной. В дополнение к этому следует отметить, что подавляющее большинство руководителей не готовы взять на себя риски информационной безопасности, связанные с Интернетом вещей, а значит, производители упускают (сознательно или нет) огромный сегмент рынка корпоративных заказчиков. К сожалению, производители пока с неохотой прислушиваются к этим пожеланиям, хотя наблюдаются и позитивные тенденции. Например, в 2017 г. правительство США приняло Internet of Things Cybersecurity Improvement Act of 2017, представленный группой единомышленников из обеих партий сената и призванный закрепить требования к безопасности устройств, которые поставляются в рамках государственных контрактов.
Но, к сожалению, задача обеспечения информационной безопасности пока возлагается на пользователей. Попробуем привести упрощенную методологию повышения защищенности данных, с которыми работает Интернет вещей. Ведь очевидно, что ценность представляет не устройство, а то, что оно знает о вас, иногда то, о чем вы даже не догадываетесь.
- «Умным» вещам – свою сеть. Выберите надежного производителя сетевого оборудования из числа тех, кто уделяет внимание как вашим потребностям (имеет линейки оборудования для ваших нужд – частных или корпоративных, офисных или промышленных), так и кибербезопасности, купите современный маршрутизатор и подключите его по отдельному каналу к Интернету. Изолируйте чайники, телевизоры и холодильники от компьютеров, где вы храните личные или рабочие данные.
- Проверьте ваши сети на соответствие рекомендациям или требованиям к информационной безопасности. Сегодня доступны решения как для дома (Avast Security Suite), так и для корпоративного использования (Efros Config Inspector, MaxPatrol и др.). Убедитесь, что вы используете сложные пароли, безопасные протоколы и актуальные версии ПО на устройствах. Довольно легко перед покупкой устройства зайти на сайт производителя и найти дату выпуска последнего патча: если с этого момента прошел год или больше, стоит задуматься. Проверить некоторые устройства и сети на наличие уязвимостей можно с помощью специализированных сервисов (Vulners, Shodan и др.).
- Отслеживайте входящий и исходящий трафики, иными словами, знайте тех, с кем работаете (в вашей сети и за ее пределами – в Интернете). Любые подозрительные соединения могут свидетельствовать о том, что ваша сеть подверглась атаке. Современные средства анализа трафика могут строить сложные математические модели информационного взаимодействия и использовать нейронные сети для выявления аномалий и потенциальных векторов атак на инфраструктуру.
Говоря о методологиях, нельзя не отметить, что обеспечение информационной безопасности частных лиц и небольших компаний существенно отличается от таких услуг, оказываемых крупному бизнесу и государству. Уникальность каждого предприятия, его бизнес-процессы оказывают влияние на состав работ. Распространенной практикой является работа по циклу Шухарта – Деминга (PDCA), которая может быть адаптирована как к классическим, «водопадным» методологиям, так и к более современным, гибким (agile). В рамках статьи полноценное освещение этого вопроса невозможно. Заинтересованных читателей, перед которыми стоят проблемы обеспечения информационной безопасности, мы приглашаем к сотрудничеству, чтобы разработать методологию, подходящую каждому конкретному предприятию.
Завершая статью, хочется задать читателям вопрос: к кому вы себя относите – к энтузиастам, для которых Интернет вещей – новая «игрушка», или к профессионалам, которые уже увидели в нем возможности для роста бизнеса? К людям, которые ответственно подходят к безопасности своих близких, или к тем, кто живет по принципу «попробовать надо все», почему-то вкладывающих в это «все» сомнительные удовольствия и риск для жизни, а не открытие новых знаний и развитие личности? К тем, кто готов вложить средства в безопасность своей части огромного Интернета вещей, или к тем, кто считает пароль Qwerty11 мощной преградой на пути хакеров? Поверьте, тот, кто ищет решения для своей кибербезопасности, найдет их уже сегодня, пусть зачастую и не от производителей «умной» техники.