Интернет вещей (IoT) – вызовы новой реальности

от автора

В основе концепции IoT лежит повсеместное распространение интернета, мобильных технологий и социальных медиа, при этом сама идея поддерживается нашим стремлением сделать мир удобнее, проще, продуктивнее и безопаснее в самом широком смысле.



Производители потребительских устройств и промышленного оборудования, автопроизводители и сервисные компании, разработчики ПО и сетевого оборудования – все они работают над созданием огромной экосистемы IoT, в которой представлено множество умных, подключенных к сети устройств. Производителей из самых различных отраслей привлекает потенциал IoT и возможность удовлетворить потребности потребителей.

Сокращение издержек

Например, компания General Electric использует Интернет вещей для профилактического обслуживания реактивных двигателей и для прогнозирования потенциальных неисправностей еще до того, как они проявили себя в полную силу. Кроме того, отслеживаемые полётные данные позволяют минимизировать издержки на топливо и повысить эффективность.

ThyssenKrupp Elevator обслуживает более 1,2 миллионов лифтов по всему миру.
Возможность профилактического, упреждающего техобслуживания, реализованная благодаря внедрению IoT технологий от Microsoft, гарантирует высокое время наработки на отказ, и компания уже отметила снижение количества обращений в службу техподдержки.

Новые источники дохода

Возможность создания дополнительных источников дохода за счет продажи услуг с добавленной стоимостью (VAS) и использования инновационных бизнес-моделей, таких как (Product-as-a-Service, PaaS). Практикуемые компанией Rolls Royce контракты на почасовой основе (Power-by-the-Hour), позволяют операторам приобретать двигатели с оплатой фиксированной суммы за час полёта, а не с предоплатой за весь двигатель сразу.

Снижение количества судебных разбирательств и сокращение соответствующих издержек, связанных с утечками данных

Согласно исследованию, проведённому IBM совместно с институтом Ponemon, в среднем утечка данных обходится компаниям в 3,79 млн. долларов. Укрепление безопасности позволяет снизить подобные риски.

Новые возможности для создания партнёрских отношений

Интернет вещей открывает новые рынки и обеспечивает новые возможности для создания партнёрских отношений. Например, Google работает над созданием программного обеспечения, которое поможет автопроизводителям разрабатывать беспилотные автомобили.

Улучшение взаимоотношений с заказчиками

Особенно это важно для тех производителей, которые не поддерживают связи с пользователями после продажи устройства. Например, Intel добавил интеллектуальную систему для торговых автоматов, благодаря чему производители смогут осуществлять продажу пакетных приложений типа 2 в 1, предоставлять скидки и реализовывать программы поддержки лояльности для повышения продаж.

Обеспечение непрерывности бизнеса

С учетом количества вовлечённых в экосистему игроков (OEM-производители, поставщики услуг связи, поставщики облачных услуг, независимые разработчики программных продуктов и т.д.), крайне важно, чтобы все элементы в экосистеме были защищены, чтобы исключить возможность сбоев. Надежная защита обеспечивает бизнесу преимущества за счет непрерывности процессов взаимодействия с заказчиками.

В окружении умных вещей

От крошечных датчиков до громадных машин, Интернет вещей (IoT) и индустриальный Интернет вещей (M2M – machine-to-machine) расширяются на огромной скорости. Так в Intel посчитали, что 10 лет назад было только 2 миллиарда смарт-объектов, связанных с беспроводным миром, а IDC оценили количество подключенных устройств к 2020 году уже в 200 миллиардов.

К чему же стоит приготовиться потребителям и производителям в связи с таким драматическим расширением сети подключенных устройств?

Практически любое подключенное устройство, начиная со смарт-телевизора, фитнес-трекера или системы домашней безопасности и заканчивая принтерами, автомобильными системами или лампочками с управлением по сети, рано или поздно подвергалось взлому. Ниже мы приведем несколько наглядных примеров таких взломов:

Более 8000 человек стали жертвами хакерской атаки, когда хакеры из группы Anonymous вторглись в инфраструктуру европейского космического агентства и похитили имена, адреса электронной почты и пароли людей, которые затем были опубликованы в виде трёх дампов данных на сервисе justpaste.it

Компания Symantec использует особым образом настроенные компьютеры Rasberry Pi, чтобы привлечь внимание к лежащим на поверхности уязвимостям в фитнес-трекерах. Эксперты по безопасности обнаружили, что некоторые из этих устройств позволяют злоумышленникам с лёгкостью следить за местоположением трекеров.

Эксперты по безопасности из компании Proofpoint обнаружили, что в праздничный период 2014 года подключенный к Интернету холодильник использовался для отправки более 75000 спам-сообщений и фишинговх писем.

Хакер и эксперт в вопросах кибербезопасности Крис Робертс (Chris Roberts) из фирмы One World Labs в Денвере, США, сумел взломать бортовую развлекательную систему в самолёте и, согласно ордеру ФБР от апреля 2015 года, перехватить управление самолётом.

Передовая система сигнализации на железнодорожном транспорте, предназначенная для управления движением всех поездов в Великобритании, также может быть подвергнута взлому, что потенциально может привести к серьезным последствиям – об этом профессор Дэвид Стаплс (David Stupples) сообщил службе BBC. Компания Network Rail, которая проводит испытания европейской системы управления железнодорожным транспортом, подтвердила наличие потенциальной угрозы.

Stuxnet – первый компьютерный червь, который способен перехватывать и модифицировать поток данных между программируемыми логическими контроллерами марки SIMATIC S7 и рабочими станциями SCADA-системы SIMATIC WinCC фирмы Siemens. В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, Иран в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. Позже стало известно, что вирус был разработан совместно разведывательными службами США и Израиля. Им была успешно заражена компьютерная система ядерной программы Ирана (подтвердила Хилари Клинтон).

Всё больше автомобилей сегодня получают доступ в сеть, но что, если автомобиль станет объектом хакерской атаки Журналист Wired Энди Гринберг (Andy Greenberg) выяснил это на собственном опыте, когда управление его автомобилем – Jeep Cherokee – было перехвачено на скорости 110 км/ч на шоссе в Сент-Луисе.

Те же исследователи в сфере безопасности утверждают, что сегодня около 471 тысячи автомобилей можно взломать практически из любой точки мира – для этого злоумышленнику нужно только знать IP адрес атакуемого автомобиля.

Защищенные интерфейсы

В случае Интернета вещей одним из основных элементов, которому необходимо уделять максимум внимания становится сама вещь или объект. Будь то автомобиль, умный счетчик или трекер здоровья – все они неожиданно становятся вовлечены в сетевое взаимодействие, при этом некоторые из IoT устройств могут обслуживать критически важную инфраструктуру – водопроводы, энергосети, систему здравоохранения или транспорта, что делает их потенциальной мишенью для промышленного шпионажа, DoS-атак (Denial of service – отказ в обслуживании) и иных хакерских атак. Для предотвращения ущерба механизмы безопасности необходимо предусмотреть еще на этапе проектирования, чтобы можно было управлять передаваемой информацией в движении и контролировать, кто именно получает к ней доступ.

В качестве примера можно привести случай взлома радио-няни Foscam, информация о котором была опубликована в 2015 году. Объектом атаки хакеров стала семья, пользовавшаяся беспроводной IP видео-няней Foscam, при этом хакер получил контроль над камерой и следил за перемещениями по комнате, в которой она была установлена. Еще большую опасность может представлять получение злоумышленниками доступа к промышленным и корпоративным системам, как это уже было продемонстрировано в ряде случаев.

  • Многообразие видов подключений. Существует очень много способов подключения, наиболее распространенными из которых на сегодняшний день являются мобильные сотовые сети, Bluetooth и WiFi, но с расширением сценариев использования более часто могут встречаться и сравнительно новые сетевые технологии, такие как LoRa, UNB, PLC, BTLe малого радиуса действия, Weightless, LTE-M и ZigBee. Каждая новая сетевая технология вместе с возможностями несёт с собой и новые угрозы.
  • Многообразие отраслей. С учётом повсеместного распространения Интернета вещей – от крупномасштабных промышленных систем, таких как парки ветрогенераторов, до носимых устройств – везде существует своя собственная экосистема. Модели безопасности могут отличаться, но в них есть как минимум одна общая черта: во всех этих случаях речь идёт о сборе огромных массивов данных. И чем более сложная эта информация, тем более она чувствительна к взлому.

Мобильная угроза

Учитывая огромные объёмы информации, генерируемые подключенными устройствами, приоритеты должны смещаться в сторону защиты тех данных, которые действительно важны. Первый шаг в создании инфраструктуры безопасности заключается в исследовании видов встречающихся угроз. Помимо фишинга, DoS и DDoS атак и физического вторжения в эру гаджетов получил широкое распространение взлом приложений. Сегодня на рынке представлены специальные автоматизированные инструменты для взлома, многие из которых распространяются бесплатно. Дело в том, что в отличие от централизованных веб-окружений, мобильные приложения существуют в рамках никак не регулируемой экосистемы мобильного устройства. Незащищенный программный код мобильных приложений (тот самый, который вы загружаете, когда устанавливаете приложение, например, из магазина AppStore или Google Play.) позволяет злоумышленникам легко и непринуждённо модифицировать эти приложения и использовать их в своих интересах.

В результате подобных атак девять из десяти организаций (90%) испытывали негативные последствия для своей коммерческой деятельности, в том числе задержки с развитием продуктов или сервисов (31%), снижение продуктивности своих сотрудников (30%), снижение потребительской уверенности (28%) и определенное давление (24%). Всё это указывает на весьма значительные негативные последствия утечек данных, которые негативным образом сказываются как на корпоративной репутации, так и на общих результатах деятельности компаний, а также на уверенности их заказчиков в данной отрасли.

Необходимость двойного действия: конфиденциальность vs аутентификация

Первый важный шаг в обеспечении безопасности устройства заключается в том, чтобы гарантировать, что пользователь действительно является тем, за кого себя выдаёт, и действительно имеет право для доступа к этому устройству. Процедура аутентификация является важным аспектом при работе с подключенными устройствами. Например, когда мы открываем свой умный автомобиль с помощью мобильного телефона, мы хотим быть уверены, что никто кроме нас не сможет этого сделать.

Но на самом деле автомобили далеко не всегда обладают хорошей защитой, как можно подумать! Австралийский исследователь в области безопасности Сильвио Сезаре (Silvio Cesare) продемонстрировал уязвимость в устройстве электронного замка автомобиля, в результате которой он сумел отключить сигнализацию и проникнуть в автомобиль, не оставив после себя никаких улик для полиции. При этом для получения доступа к автомобилю он использовал простейшую программно-определяемую радиосистему (software defined radio) и антенну, с помощью которых он мог перехватывать и отправлять беспроводные сигналы.

Поставщики оборудования также должны быть авторизованы для доступа к удалённому устройству. Производитель электромобиля Tesla оповещает водителей о доступности обновления прошивки и о том, когда это обновление будет загружено. Таким образом, водитель понимает, что обновление было получено непосредственно от Tesla, и что это не попытка злоумышленника проникнуть в систему. Для более надежной аутентификации всё чаще используются биометрические данные, например, отпечатки пальцев или сканирование сетчатки, которые позволяют достоверно подтвердить, что мы являемся именно теми, за кого себя выдаём.

Принципы защиты Интернета вещей

Анализ ситуации показывает необходимость использования комплексного и научно-обоснованного подхода к обеспечению безопасности Интернета вещей:

Оценка рисков – для разработчика важно понимать все потенциальные уязвимости. Методология оценки должна охватывать вопросы обеспечения конфиденциальности, безопасности, предотвращения мошеннических действий, кибератак и кражи интеллектуальной собственности. Оценка рисков отнюдь не является простой задачей, поскольку киберпреступники находятся в постоянном поиске и постепенно осваивают всё новые и новые виды угроз. И поскольку универсального решения для нейтрализации этих угроз не существует, на этом этапе рекомендуется пригласить для консультаций эксперта в области безопасности.

Обеспечение безопасности на этапе проектирования – ключевой момент заключается в том, что безопасность устройства должна учитываться на этапе проектирования. Сюда относится безопасность в конечных точках и профилактические меры, в том числе создание защищенного ко взлому аппаратного и программного обеспечения.

Обеспечение безопасности данных – строгая аутентификация, шифрование и безопасное управление ключами шифрования должны использоваться для защиты информации, как хранящейся на устройстве, так и в момент её передачи.

Управление жизненным циклом – обеспечение безопасности не следует рассматривать как обособленный процесс, который достаточно выполнить один раз и забыть о нём. Крайне важно, чтобы устройства, использующиеся в экосистеме Интернета вещей, были защищены на протяжении всего их жизненного цикла, не важно, идёт ли речь о самостоятельном продукте, или о некой системе, например, интегрированной в автомобиль.

Преимущества полностью подключенного мира

Со временем потребители будут воспринимать удобства Интернета вещей как должное, и будут полностью уверены в его безопасности. Кроме того, будут реализованы и другие преимущества Интернета вещей: увеличение эффективности в различных отраслях, снижение издержек для отрасли здравоохранения, внедрение энергосберегающих технологий в городах. Однако вопрос безопасности остается ключевым. Его решение – в руках профессионалов.

ссылка на оригинал статьи https://habrahabr.ru/post/281619/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *