Как обезопасить интернет вещей?

Появление IoT-девайсов значительно расширило перечень устройств, подключенных к интернету, а значит, потенциально уязвимых для атак. Хакер может свободно купить любой интересующий его девайс и изучить его систему защиты. В отличие от обычных серверов, которые, как правило, подвергаются атакам дистанционно и имеют специализированную защитную систему, IoT-девайсы более подвержены несанкционированному доступу.

Широкое распространение этих устройств приводит к тому, что в случае взлома одного из них компания-производитель не сможет оперативно отозвать все устройства и обновить систему защиты. Кроме того, хакеры могут через одно устройство проникнуть во всю сеть. Таким образом один девайс предоставит несанкционированный доступ к широкому спектру конфиденциальных данных — от банковских реквизитов до медицинских записей, и даже к важным корпоративным сведениям, учитывая, что многие люди используют одни и те же устройства дома и на работе.

По теме: Как устроен рынок интернета вещей

Немаловажное значение имеет и то, кто производит большинство современных «интернет-вещей». Очень часто это небольшие стартапы, которые не могут себе позволить содержать армию экспертов по безопасности и вовремя предотвращать взломы. Вместо этого им приходится рассчитывать на уровни защиты аппаратного и программного обеспечения, приобретенного у поставщиков. А из-за ценовой политики крупных компаний-поставщиков не все могут купить хорошо защищенные компоненты. Многие из IoT-девайсов, имеющихся в продаже на сегодняшний день, были разработаны и выпущены с минимальными затратами, так что производитель, скорее всего, не мог позволить себе тратить большие средства на разработку нормальной защитной системы.

Теперь пришло время участникам рынка высоких технологий озаботиться решением этих проблем, ведь угроза повсеместных взломов «интернет-вещей» уже стала реальностью. Разработчики стандартов, крупные предприятия и легионы стартапов должны объединиться и вместе работать над решением важнейшего вопроса обеспечения безопасности, пока не стало слишком поздно.

Первые шаги

Благо, технологический сектор уже осознал серьезность угрозы и предпринимает первые шаги по обеспечению безопасности IoT. Это происходит и на уровне целых отраслевых групп, и на уровне отдельных компаний. Например, международная группа стандартов ISO создала рабочую группу, которая занимается адаптацией семейства стандартов безопасности ISO 27000 к применению их в сфере интернета вещей. А ассоциация стандартов IEEE разрабатывает рамочную концепцию стандартизации безопасности в сфере IoT и защиты личных данных.

Хорошей новостью стало и создание целого ряда отраслевых союзов и консорциумов производителей IoT: Thread Group, Open Interconnect Consortium, AllSeen Alliance и Industrial Internet Consortium. И хотя каждый союз работает в своей области, имея дело только со своими производителями и пользователями, все они выступают за расширение практики шифрования данных и использования других способов защиты.

Основные проблемы

Несмотря на некоторый прогресс, защита сферы IoT до сих пор связана со множеством непростых проблем. Согласно отчету международной консалтинговой компании McKinsey & Co., выпущенному совместно со Всемирной ассоциацией производителей полупроводников, в одних сегментах интернета вещей имеются четкие общепринятые стандарты безопасности, в то время как в других такие стандарты не разработаны, или действуют несколько стандартов, которые конкурируют между собой.

С другой стороны, использование программно-конфигурируемых сетей (software-defined networking, SDN) для управления потоками данных IoT, тоже может представлять угрозу безопасности, так как такой тип обработки данных подразумевает множественные каналы подключения и использование удаленных вычислительных возможностей.

Разрабатываемые сейчас беспилотные автомобильные системы, которые подразумевают обмен информацией между автомобилями и с дорожной инфраструктурой, требуют создания более надежной системы безопасности и сокращения возможностей для взлома.

По теме: «Интернет машин» — будущее комфортного передвижения

И наконец, самое важное. Ведущие технологические компании до сих пор не приложили достаточно усилий по разработке решений для обеспечения безопасности IoT-приложений.

Если за эту важнейшую задачу не возьмутся гиганты индустрии, то обязанности лягут на плечи множества стартап-компаний, которые в значительной степени обеспечивают нынешний рост сектора IoT. Согласно оценке консалтинговой компании Gartner, к 2017 году более половины продуктов IoT будут производиться небольшими компаниями, существующими менее трех лет. Можно представить, что лишь часть этих компаний будет в силах обеспечить нормальный уровень безопасности своих изделий.

Защитить будущее

Но каким образом мы можем помочь этому новому поколению разработчиков и вооружить их знаниями, необходимыми для обеспечения действительно прочной защиты устройств IoT?

Во-первых, необходимо поощрять производителей активнее сотрудничать с поставщиками ПО, аппаратного обеспечения и в целом с экосистемой отрасли. Старшие партнеры могут стать для новичков рынка ценным источником опыта и знаний по применению существующих стандартов и элементов безопасности.

Во-вторых, нужно развивать образование. В пример можно привести создание лабораторий безопасности на базе Microsoft, Breed Reply и Indiegogo. В этих лабораториях даже небольшие разработчики могут получить доступ к передовому оборудованию и сделать свой вклад в развитие систем безопасности. Работающие в этих лабораториях узнают, что вопросы безопасности должны быть первоочередными на всех этапах IoT-проекта — от идеи до серийного выпуска и даже после и во время эксплуатации.

В идеальном мире не будет никаких угроз безопасности. Но в нашем мире все больше предметов можно подключить к интернету, а значит, все больше предметов становятся потенциально подвержены взлому. Возможно, мы никогда не решим эту фундаментальную проблему, но, объединив усилия, мы можем создать безопасный интернет вещей, которого заслуживает мир.

По теме: 5 советов по безопасности для создателей интернета вещей

Источник.