5 советов по безопасности для создателей Интернета вещей
Сохранность данных – дело техникиАлександр Димченко, СТО компании Bright Box, написал 5 советов для разработчиков проектов в области IoT – как сделать разработку «безопаснее» (не только с помощью двухфакторной аутентификации и Touch ID).
Фитнес-браслет, смарт-часы, стиральная машина, холодильник, машина, кондиционер, телевизор – этими и многими другими объектами уже можно управлять с помощью приложений и через интернет. Отличная новость – мы уже живем в интернете вещей. Осталось сделать эту среду безопасной.
Я вместе с командой Bright Box развиваю Remoto – приложение для удаленного управления автомобилем через смартфон. Продукт позволяет удаленно запустить двигатель машины, прогреть или охладить салон, отследить маршрут движения, найти автомобиль на большой парковке и узнать о том, что его эвакуируют, ударили или взломали.
Набор возможностей пополняется, и на каждом шаге мы продумываем защиту на нескольких уровнях: мобильное приложение, модуль системы, установленный в автомобиле, и сервер управления. На основе своего опыта я хотел бы поделиться несколькими советами: что делать с технологиями для безопасности тем, кто разрабатывает проекты в сфере IoT.
1. Не изобретайте велосипед
Это главная рекомендация. Вместо поиска принципиально новых решений используйте индустриальные стандарты и протоколы для построения инфраструктуры и приложений. Интернет вещей – довольно сложный спектр технологий, где последствия ошибок в программном коде зачастую сильнее влияют на бизнес компании, чем в классических софтверных проектах. Поэтому важно очень много времени уделять тестированию и использовать проверенные годами решения.
Мы строили Remoto на базе существующих, хорошо защищенных платформ, таких как Windows Azure, Apple iOS, Jasper. В обеспечение безопасности этих продуктов компании мирового уровня уже вложили десятки миллионов долларов. Выбор в пользу этих платформ позволяет драматически быстрее запустить продукт, так как не нужно будет осуществлять разработку с нуля ряда очень трудоемких компонентов.
2. Обеспечивайте защиту каналов доступа
В странах, где присутствует Remoto, мы используем VPN, поставляемый операторами сотовой связи – для того, чтобы автомобили, подключенные к Remoto, не были доступны из любых публичных сетей. Это нивелирует риск получения доступа к автомобилю через обычное интернет-соединение, то есть, злоумышленник не сможет подключиться к вам по IP адресу. Похожие решения используются для обеспечения безопасности банкоматов.
По теме: 7 гаджетов и приложений для автомобилиста
3. Задействуйте двухфакторную аутентификацию
Слабые пароли – один из основных рисков информационной безопасности. 61% пользователей используют один и тот же пароль на нескольких сайтах и сервисах, 44% меняют пароли раз в год.
Однофакторная аутентификация (только с помощью пароля) уходит в прошлое, стандартом постепенно становится двухфакторная. Она обеспечивает двухслойную защиту аккаунта от несанкционированного проникновения. К примеру, сначала логин и пароль, а затем специальный код в SMS.
Именно этот вариант используем и мы. Автовладельцы могут авторизоваться в приложении и отдать команды управления машиной только после ввода PIN-кода, полученного по SMS. Если данные для авторизации будут украдены, злоумышленник не сможет ими воспользоваться, так как вновь генерируемые коды доступа будут высылаться на номер владельца.
HP Fortify выяснили, что 100% смарт-часов уязвимы из-за отсутствия двухфакторной аутентификации и легкой доступности для брутфорса – подбора пароля для последующего взлома.
4. Используйте возможности биометрии
Аутентификацию можно усложнить с помощью использования голосовой идентификации, USB-ключей, смарт-карт, генераторов кодов, технологии SecureID. К сожалению, современные мобильные устройства крайне плохо осуществляют аутентификацию по лицу. Что касается идентификации по голосу – количество пользователей, которым это удобно, крайне невелико, если верить нашим исследованиям. Кроме того, если говорить о возможностях смартфонов, то технология оказывается недостаточно надежной.
Голландский банк ING Netherlands выпустил приложение для онлайн-банкинга, где пароль к аккаунту пользователя – голос клиента. В приложении используется технология голосовой биометрии, работающая на платформе Nina.
Мы в Remoto остановились на авторизации по отпечатку пальца, если у смартфона есть такая функция. Даже если злоумышленник украдет телефон и ему удастся разблокировать его, авторизоваться в Remoto будет невозможно. Соответственно, работать с приложением и управлять с телефона машиной не может никто, кроме владельца мобильного устройства.
Если ваше приложение работает на iOS, задействуйте эту функцию.
Mastercard тестирует приложение, которое позволит подтверждать транзакции не с помощью числовых кодов, а на основе технологий распознавания лица. Другими словами, для подтверждения оплаты в интернете нужно будет сделать селфи.
5. Совет от ESET: не преуменьшайте значение мобильных угроз
Сегодня Интернет вещей во многом развивается за счет возможности делать управление физическими объектами через приложения на мобильных устройствах. С помощью смартфона многие пользователи уже удаленно управляют автомобилями, получают данные с носимых устройств, в том числе с фитнес-браслетов, и обмениваются данными с умными часами. При этом часто работа с физическим объектом завязана на двухфакторную аутентификацию, невозможную без смартфона. И здесь мы возвращаемся к проблеме вредоносного мобильного ПО, которое умеет красть в том числе пароли и коды, необходимые для авторизации в приложениях и интернет-сервисах.
Особенно актуально это для Android-устройств, в расчете на которые сегодня создается больше 99% мобильного вредоносного ПО. Так что, советую разработчикам приложений для Android дополнительно продумать защиту на уровне пользовательского устройства.
По теме: Интернет вещей – на что смотрят венчурные фонды
6. Составляйте модели угроз
Составляйте исчерпывающий список угроз для вашего объекта и продумывайте всю архитектуру безопасности объекта, управлять которым будет ваш продукт.
Пользуясь случаем, хочу поблагодарить Алексея Лукацкого из компании Cisco за его презентацию о безопасности умных автомобилей. Она помогла мне в свое время учесть несколько очень важных моментов. Вот, как выглядит карта угроз для современной машины.
Презентацию полностью можно посмотреть тут.
Фото: Shutterstock.
-
Технологии Александр Пьянов, «Яндекс Драйв»: «Мы готовы стать агрегатором для всего рынка каршеринга» 08 апреля 2026, 12:26
-
Ритейл Когда ручная отчётность мешает компании расти: как ускорить аналитику в фешен-ретейле 16 апреля 2026, 18:29
-
Банки Как усилить рост бизнеса и получать пассивный доход: обзор партнёрской программы Альфа-Банка 16 апреля 2026, 14:00
-
Бизнес Отказ от завода и ставка на интеллект: как Катерина Карпова реанимировала PURE LOVE 02 марта 2026, 11:45
-
Бизнес Анна Симакова: «В кризис выживают крупные структуры» 20 февраля 2026, 10:06
-
Бизнес «Точно розовый?»: как Eburet из табурета-трансформера вырос в B2B-бренд, который заходит на рынок в 50 млрд ₽ 11 февраля 2026, 19:48
-
Бизнес Эндаумент: как создать капитал, который будет поддерживать проекты годами 17 апреля 2026, 16:38
-
Маркетинг Как брендам достучаться до зумеров: почему старые инструменты больше не работают и что делать 12 апреля 2026, 22:11
-
Бизнес «Резервы во многом исчерпаны»: глава Минэка — о состоянии макроэкономики в 2026-м году 17 апреля 2026, 19:22
-
Бизнес Подразделение Adidas в РФ заработало 2,2 млрд ₽ в 2025-м — но доход обеспечили не продажи, а проценты по вкладам 17 апреля 2026, 14:45
-
Бизнес Темпы роста МСП в России замедлились в 2026 году: наибольшее снижение показателей — у розницы и в оптовой торговле 17 апреля 2026, 11:45
-
Маркетплейсы ФАС выдала предупреждения Wildberries и Ozon — регулятор указал на навязывание невыгодных условий продавцам 17 апреля 2026, 19:33
-
Искусственный интеллект Инвесторы оценили Anthropic в $800 млрд перед новым раундом финансирования — создатель ИИ Claude готовится к IPO 16 апреля 2026, 20:00
-
Бизнес Uber инвестирует $10 млрд в развитие роботакси — компания будет прямым конкурентом Tesla Илона Маска 16 апреля 2026, 14:40
-
Россия В работе «Ростелекома» произошёл масштабный сбой из-за DDoS-атаки — пользователи жалуются на проблемы с интернетом 06 апреля 2026, 23:59
