Интеллектуальные устройства, имеющие доступ в Интернет, сегодня уже не фантазия, а реальность. Они применяются в торговле, производстве, медицине, розничной продаже, логистике. Они управляют большей частью критически важной инфраструктуры во всем мире.
Вместе с тем стоит понимать, что требования к защите и балансу функциональности и безопасности в каждой области Интернета вещей (IoT) будут разными и потребуют детализированного понимания. Например, операционные требования и требования безопасности при добыче нефти и газа будут весьма существенно отличаться от таковых в розничной торговле.
При отсутствии достаточного внимания к потребностям безопасности IoT дела могут просто пойти неправильно.
Рассмотрим следующие сценарии:
Системы управления производственными процессами
Очень многие системы управления производственными процессами (АСУТП) сегодня используют сложные и точные механизмы автоматизации. Но стоит помнить, что управление сложными устройствами дает атакующим много целей для атак. Меняя настройки управления или значения датчика, можно нарушить работу оборудования или даже разрушить производство. В худшем случае атака может привести к человеческим жертвам. Например, червь Stuxnet использовал такие методы, чтобы уничтожить более 1000 центрифуг для обогащения урана в Иране в период с 2007 по 2010 гг. Stuxnet прославился как первое истинное кибероружие, следовательно, стал богатым справочником для разработки все более сложных механизмов атаки.
Не стоит забывать, что атакующие могут использовать и многие другие уязвимости. Огромный масштаб АСУТП делает их чрезвычайно дорогими, поэтому срок службы их составляет 20 и более лет. Поэтому компьютерный парк АСУТП может устаревать и становиться притягательным для злоумышленников.
Даже если служба безопасности обнаружит серьезную уязвимость в системе, зачастую обновить производственные системы просто невозможно, не нанеся при этом вред производству. И даже если и можно обновить систему, то нужно планировать обновление за много месяцев, чтобы избежать остановки производства, таким образом, время отклика на обновление получается очень затянутым.
Машины с доступом в Интернет
Сегодня, по заявлению HIS Automotive, 23 млн. автомобилей для тех или иных целей соединяются с Интернетом. К 2020 г. число таких автомобилей вырастет до 152 млн.
Сегодня автомобили загружают из Интернета музыку, фильмы, карты, туристическую информацию, информацию о пробках, а также обеспечивают просмотр веб-страниц и электронной почты. Но все не так безобидно. Автомобильная промышленность давно создала электронные блоки управления работой двигателя, трансмиссии, тормозной и другими системами. Сегодня они перестают быть автономными, к ним уже можно подключаться через Сеть, например, для удаленной диагностики систем управления. Например, Tesla показала, что может диагностировать отказы механизмов и загружать обновления программного обеспечения. При этом используются механизмы, подобные тем, которые используются при обновлении мобильных телефонов. Когда инженеры обнаружили, что уязвимость зарядного устройства может вызвать пожар, Tesla просто обновила софт почти 30 тыс. автомобилей через Интернет. Если злоумышленник получит доступ к соответствующим системам, то он может установить вредоносное ПО и последствия могут быть в таком случае просто фатальными (например, отказ тормозов).
Беспилотные летательные аппараты
Все больше организаций планируют использовать беспилотные летательные аппараты (БПЛА), чтобы собирать данные в труднодоступных местах. БПЛА используются как военными (полицейскими), так и гражданскими организациями. Однако стоит отметить, что оснащение БПЛА камерами с высокой разрешающей способностью привело к новым проблемам конфиденциальности. Кроме того, рост полезной нагрузки позволяет использовать летающие дроны в террористических целях.
На самом деле количество вариантов использования IoT практически безгранично. И проблемы безопасности по мере роста применения IoT будут только нарастать, ведь невозможно гарантировать безопасность каждой новой вещи. Да и разработчики сегодня все чаще озабочены возможностью вывести новый товар побыстрее на рынок, не задумываясь о возможных проблемах безопасности.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.