По данным компании Gartner, к 2020 г. Интернет вещей (IoT) объединит 26 млрд. устройств, а доход поставщиков продуктов и услуг рынка IoT составит к этому времени 300 млрд. долл. Технологии мира IoT наполняют мир людей, они призваны сделать нашу жизнь более удобной, освободив нас от многих рутинных действий.
Вместе с этим уже сейчас эксперты настойчиво заявляют о том, что поставщики услуг и устройств рынка IoT нарушают принцип сквозной информационной безопасности (ИБ), который рекомендован для всех ИКТ-продуктов и услуг. Согласно этому принципу, ИБ должна закладываться на начальной стадии проектирования продукта или услуги и поддерживаться вплоть до завершения их жизненного цикла.
Но что же мы имеем на практике? Вот, например, некоторые данные недавних исследований корпорации HP, целью которых было не выявить какие-то конкретные небезопасные интернет-устройства и уличить их изготовителей, но обозначить проблему ИБ-рисков в мире IoT в целом.
Исследователи HP обращают внимание на проблемы как на стороне владельцев устройств, так и на проблемы, над которыми должны подумать разработчики. Так, в самом начале эксплуатации пользователю обязательно нужно заменить фабричный пароль, установленный по умолчанию, на свой личный, поскольку фабричные пароли одинаковы на всех устройствах и не отличаются стойкостью. К сожалению, делают это далеко не все. Поскольку не все приборы имеют встроенные средства ИБ-защиты, владельцам также следует позаботиться об установке внешней защиты, предназначенной для домашнего использования, с тем чтобы интернет-устройства не стали открытыми шлюзами в домашнюю сеть или прямыми инструментами причинения ущерба.
В ходе проведенного HP исследования обнаружено, что примерно в 70% проанализированных устройств не шифруется беспроводной трафик. Веб-интрефейс 60% устройств эксперты HP посчитали небезопасным из-за небезопасной организации доступа и высоких рисков межсайтового скриптинга. В большинстве устройств предусмотрены пароли недостаточной стойкости. Примерно 90% устройств собирают ту или иную персональную информацию о владельце без его ведома.
Всего же специалисты HP насчитали около 25 различных уязвимостей в каждом из исследованных устройств (телевизоров, дверных замков, бытовых весов, домашних охранных систем, электророзеток...) и их мобильных и облачных компонентах.
Вывод экспертов HP неутешителен: безопасной экосистемы IoT на сегодняшний день не существует. Особую опасность вещи Интернета таят в себе в контексте распространения целевых атак (APT). Стоит только злоумышленникам проявить интерес к кому-либо из нас, и наши верные помощники из мира IoT превращаются в предателей, нараспашку открывающих доступ в мир своих владельцев.