Темой нового материала в рубрике «Экспертное мнение» стала концепция «Интернета вещей» (Internet of Things, IoT). Редакция SecureNews вместе с экспертами попыталась разобраться, с какими проблемами сопряжено использование IoT-устройств, кто отвечает за тяжелые последствия атак ботнетов типа Mirai, а также как пользователи таких девайсов могут обезопасить себя.
Какие угрозы таит в себе «интернет вещей»? Перевешивают ли плюсы работы с ним минусы?
Ирина Яхина, директор по технологиям Hitachi Data Systems в North EMEA:
«Без сомнения, технологии «интернета вещей» еще достаточно молоды, и список уязвимых мест инфраструктуры IoT можно перечислять долго. Что будет, если датчик попадет в руки злоумышленников? Кто и как будет определять ценность получаемых данных? Как защитить критичные корпоративные данные от утечек и кибератак? Безопасны ли используемые облачные и мобильные интерфейсы? Основная проблема заключается в том, что четкого ответа на эти вопросы пока не может дать ни один производитель устройств, работающих с «интернетом вещей». В то же самое время масштаб проблем будет возрастать соответственно темпам распространения IoT и перепоручения ему определенных бизнес-задач. Это станет рычагом воздействия на вендоров: если раньше многие из них стремились как можно скорее выпустить на рынок продукт и поразить заказчика его «инновационностью», то в скором времени разработка ключей для защиты, экстренного восстановления или удаления данных будет требовать от производителя все больше времени и усилий. Между тем, ответственность за обеспечение безопасности устройств IoT и генерируемой ими информации должна лечь на поставщиков как программных, так и аппаратных компонентов таких инфраструктур.
Большую роль в освоении «интернета вещей» сыграют облачные сервисы, поддерживаемые крупными производителями: безопасные, функциональные и доступные по цене платформы на базе частных облаков могут стать площадкой для отработки методов защиты больших объемов данных в условиях их постоянного обновления и циркуляции между пользователями. В настоящее время именно в качественных облачных решениях реализованы необходимые «интернету вещей» приемы аутентификации, обеспечения конфиденциальности доступа и сохранения целостности данных».
Алексей Талаев, руководитель департамента прогнозной аналитики и оптимизационного планирования ИТ-компании Navicon:
«В России технологии IoT сейчас активно развиваются в промышленном секторе (так называемый «Индустриальный интернет вещей», IIoT), и их внедрение ограничивается вопросами безопасности. Предприятия в непрерывном режиме генерируют информацию и обмениваются ею внутри себя или с внешними источниками – клиентами, партнерами. Естественно, это повышает риски кражи данных: «Лаборатория Касперского» насчитала к маю 2017 года 7200 вредоносных программ, ориентированных на устройства «интернета вещей», причем без малого половина из них появилась в этом году. Кроме того, существует довольно много историй о том, как обычные пользователи взламывали промышленный Wi-Fi в поисках бесплатного интернета.
С другой стороны, решения на базе концепции IoT позволяют бизнесу выходить на принципиально новый уровень эффективного использования имеющихся мощностей, основных средств и объектов производства. Датчики и сенсоры, установленные на оборудовании и технике, позволяют своевременно получать информацию о состоянии производственных объектов, прогнозировать их поломки и выход из строя, планировать ремонтные и профилактические работы на предприятии. Эти технологии исключают авральные сбои и критические поломки, что, в конечном счете, приводит к минимизации рисков для бизнеса и рационализации использования имеющихся ресурсов.
Мне кажется, главное здесь – найти баланс между рисками и выгодами внедрения новой технологии и своевременно предпринимать профилактические меры. Чтобы минимизировать утечки данных, предпочтение можно отдавать сетям широкого радиуса действия LPWAN (Low-power Wide-area Network — «энергоэффективная сеть дальнего радиуса действия») – они имеют несложную архитектуру и довольно высокий уровень защиты информации. Так, в LoRa (сетевая технология на базе LPWAN) есть три слоя шифрования: ключ сети обеспечивает безопасность на уровне всех подключенных к ней устройств, ключ приложений и ключ устройств – на уровне ее элементов соответственно. Таким образом, хотя угроза ИБ останется актуальной, риски можно существенно снизить».
Кто несет ответственность за последствия атак таких мощных ботнетов, как Mirai: разработчики IoT-устройств, допустившие ошибки, или халатные пользователи девайсов? Или же катастрофу было невозможно предотвратить?
Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»:
«Распределение ответственности за атаки на устройства «интернета вещей» – проблема, которую еще предстоит решить. Понимание того, что использование технологий IoT содержит в себе определенные угрозы, есть у очень небольшого числа людей, многие из которых не являются профессионалами в области информационной безопасности. Понимая это, производители должны усложнять логины и пароли, устанавливаемые по умолчанию на устройства.
Что же касается защиты от DDOS-атак, основанных на использовании вычислительных мощностей «интернета вещей», то все современные анти-DDOS решения работают в прозрачном режиме, то есть недоступны для атак из интернета. Такие решения уже умеют определять тип устройства, делающего запрос к сайту, и автоматически его блокировать, в случае, если это, например, устройство из интернета вещей».
Александр Старченко, партнер инвесткомпании First Imagine! Ventures:
«Виноваты в проблемах и те, и другие – но разработчики и изготовители, конечно, больше – слишком долго пользователей приучали – и приучили – к концепции plug&play, теперь нужны усилия всех участников рынка по созданию новых потребительских привычек. Это не будет слишком сложно – в интернете людей такие привычки уже давно сформированы, надо только научить людей относиться к своему утюгу, как к компьютеру».
Какие уроки следует извлечь IoT-индустрии?
Дмитрий Петерсон, директор компании mobile.SimbirSoft:
«На мой взгляд, IoT-индустрии следует перестать экономить на поддержке своих продуктов и внимательнее относиться к вопросу безопасности выпускаемых продуктов. Ни для кого не секрет, что большинство жертв имели стандартные пароли и старое ПО на борту.
Именно широкое распространение практики установки стандартного пароля на все продаваемые устройства стало причиной быстрого пополнения ботнета Mirai. С одной стороны, неэтично винить пользователей в том, что они не догадались установить сложный пароль, с другой – у производителей всегда найдется дежурное оправдание по этому поводу. В общем, поиск виноватых в заражении – перспективное дело».
Яков Гродзенский:
«Крайне важно развивать систему информационной безопасности на промышленных предприятиях и в государственном секторе. На предприятиях защита подключенных объектов должна стать полноценным элементом стратегии информационной безопасности. Нужно понимать, что количество устройств IoT будет расти по экспоненте, к 2020 году их количество в мире будет измеряться десятками миллиардов, и проблем с защитой будет становиться только больше.
Важно также содействие со стороны государства – в первую очередь, формирование правового поля. В частности, сегодня активно обсуждается проект закона «О безопасности критической инфраструктуры РФ», который должен заложить юридические основы и определить организационные меры для защиты важных технологических объектов, в том числе и технологий «интернета вещей».
Михал Салат, ведущий вирусный аналитик Avast:
«Пользователи должны изменять учетные данные своих «умных» устройств. Чтобы подтолкнуть пользователей к изменению учетных данных своих устройств «интернета вещей», производители могут, к примеру, сделать создание уникального и надежного пароля обязательным во время первой настройки устройства. Это, конечно, не универсальное решение, но даже простая смена заданных по умолчанию учетных данных может серьезно снизить количество незащищенных устройств «интернета вещей» и усложнить их взлом для любителей и простых поисковых ботов. Другая возможность — создание производителем уникальных и случайных паролей для каждого устройства, которые будут передаваться покупателю вместе с изделием.
Не менее важная задача для производителей IoT-устройств — выпуск обновлений ПО, которые помогут устранить уязвимости. Производители часто используют устаревшие версии различных библиотек и операционных систем, для взлома которых уже существует множество инструментов, что делает устройства беззащитными перед атаками. Многие устройства не позволяют обновлять встроенное ПО, поэтому единственным выходом при атаке с использованием уязвимостей является полное отключение устройства от сети и его замена на более защищенный аналог.
Защита устройств IoT не только обеспечивает конфиденциальность пользователей и помогает избежать DDoS-атак, но и может предотвратить намного более серьезные неприятности. Экспериментальные атаки показали, как целые сети «интернета вещей» можно заразить через одно устройство, например, лампочку или датчик движения транспорта. Такие экспериментальные атаки показывают, насколько серьезной проблемой могут стать уязвимые «умные» устройства и сколь велик может оказаться ущерб при их попадании под контроль недобросовестных людей. Представьте, что злоумышленники смогут контролировать транспортный поток или отключить освещение в целом городе. Производители «умных» устройств должны сотрудничать со специалистами в области безопасности, чтобы оснастить свои устройства защитой, и проводить регулярные испытания своих продуктов на устойчивость к взлому».
Как пользователи IoT-устройств могут обезопасить себя?
Евгений Акимов, директор по развитию кибербезопасности ГК Softline:
«Элементарные действия, помогающие обезопасить себя, применимы вне зависимости от того, какое устройство подключено — компьютер или холодильник:
- Соблюдать парольные политики. Пользователь должен устанавливать на устройство сложный пароль и регулярно его обновлять.
2. Делать свое подключенное устройство скрытым (поскольку мы говорим об устройствах, подключенных к Wi-Fi). На элементарном уровне у человека всегда есть возможность в настройках сделать свое устройство невидимым. При этом оно по-прежнему будет иметь доступ в сеть.
3. Устанавливать обновления. WannaCry использовал уязвимость, под которую полгода назад вендором были выпущены обновления, но пользователи не придали этому значения. Из-за этого легкомыслия вирус обошел разве что не полпланеты.
4. Если перестали пользоваться подключенными устройствами, не забудьте их отключить.
Вряд ли производители по доброй воле начнут вкладывать значительные средства в безопасность своих устройств. Только давление пользователей, а еще лучше — разработка и принятие стандартов по безопасности, могут существенно улучшить ситуацию. Опыт краш-тестов в автомобилестроении и других систем оценок безопасности вполне успешен и может быть адаптирован на отрасль IoT. Желательно при этом действовать проактивно, не дожидаясь массового «восстания машин», хотя опыт человечества говорит о том, что «пока гром не грянет…». В последнем прогнозе очень хочется ошибиться».
Яков Гродзенский:
«Для того, чтобы обезопасить себя от угроз «интернета вещей», необходим комплексный подход: от своевременного обновления ПО, управления доступом и паролями до применения двухфакторной аутентификации и разработки правил фильтрации – например, можно отсекать запросы от устройств IoT по заголовкам входящих пакетов. На промышленных объектах и в критически важной инфраструктуре важно также внедрять специализированные технические средства. К ним относятся однонаправленные дата-диоды для изоляции от других информационных систем, промышленные сетевые экраны для SCADA-систем, системы обнаружения вторжений. Уверен, в ближайшие несколько лет мы будем наблюдать бум разработки новых средств защиты «интернета вещей» – как промышленного, так и пользовательского».