Альянс фирм, занимающихся вопросами безопасности, предупреждает, что отсутствие согласованного стандарта кибербезопасности применительно к Интернету вещей и подключенным устройствам может привести к катастрофе — взлому защиты с разрушительными последствиями, способными поставить под удар любую промышленную, корпоративную или домашнюю сеть.
К Интернету уже подключены миллиарды устройств — от датчиков и автомобилей до медицинской аппаратуры и прочего оборудования, причем, по оценке Gartner, ежедневно в онлайн выходят 5,5 млн. новых «вещей». На данный момент уже подключено более 5 млрд. устройств, и ожидается, что эта цифра к 2020 г. возрастет до 20 млрд.
Эксперты в области кибербезопасности предупреждают, что недостаточные меры безопасности при работе с Интернетом вещей означают, что любая система находится под угрозой.
В то же время безопасность устройств внутри Интернета вещей не регулируется никакими видами стандартов, так что эксперты уже прогнозируют, что в ближайшие два года должно произойти масштабное нарушение кибербезопасности системы по вине какого-либо подключенного к ней незащищенного устройства.
Компании, среди которых ARM и Symantec, разработали протокол Open Trust Protocol (OTrP), призванный обеспечить безопасную архитектуру и управление кодом для защиты подключенных устройств. В этой архитектуре используются технологии, применяемые в банковской сфере и в процедурах обращения с конфиденциальными данными на смартфонах и планшетах.
«В мире, где все подключено к Интернету, крайне важно установить атмосферу доверия между всеми устройствами и поставщиками услуг, — считает Марк Канел, вице-президент подразделения систем защиты компании ARM. — Операторы должны быть уверены в устройствах, с которыми взаимодействуют их системы, и протокол OTrP достаточно просто позволяет этого добиться. Он объединяет в себе доверительные архитектуры электронной коммерции и высокоуровневый протокол, который легко интегрируется с любой существующей платформой».
OTrP — это высокоуровневый протокол управления, по которому работают программные средства безопасности, например, процессорная среда Trusted Execution Environments на базе аппаратного средства защиты TrustZone от компании ARM, предназначенная для защиты мобильных вычислительных устройств от злоумышленных атак. OTrP можно применять к системам на базе инфраструктур с открытым ключом, чтобы поставщики сервисов, разработчики приложений и производители аппаратуры могли пользоваться собственными ключами для авторизации и управления проверенными ресурсами и ПО. Группа, занимающаяся протоколом, утверждает, что OTrP можно легко встраивать в уже существующие среды Trusted Execution Environments или в платформы на базе микроконтроллеров, поддерживающие RSA-криптографию.
По своей сути OTrP является протоколом управления, задуманным для совместной работы с программными средствами безопасности с целью защитить Интернет вещей и мобильные устройства от злоумышленных атак. Все желающие протестировать OTrP и опробовать его прототип у себя в системе безопасности могут скачать его код на сайте организации Internet Engineering Task Force.
Инициативная группа компаний выражает надежду на то, что протокол проложит дорогу открытому стандарту, который позволит управлять проверенным ПО без необходимости поддерживать централизованную базу данных — по такому принципу уже организована архитектура безопасности в электронной коммерции.
«Появление новых технологий влечет за собой повышенные риски безопасности, — говорит Брайан Уиттен, старший директор отдела безопасности Интернета вещей компании Symantec. — Интернет вещей и интеллектуальные мобильные технологии находят самое разнообразное применение, поэтому так важно создать открытый протокол, чтобы упростить и ускорить внедрение программно-аппаратных механизмов безопасности, предназначенных для защиты встроенных ключей шифрования».
Полный состав группы компаний, совместно разработавших OTrP, включает Intercede, Solacia, Symantec, Beanpod, Sequitur Labs, Sprint, Thundersoft, Trustkernel, Verimatrix и ARM.