Поделиться
Почему проблему безопасности интернета вещей оказалось так трудно решить?
Интернет вещей становится неотъемлемой частью корпоративных систем во всех сферах деятельности, количество подключенных устройств стремительно растет, так же, как и объемы данных, которые они генерируют. При этом многие решения интернета вещей до сих пор плохо защищены.
Интернет вещей быстро проникает во все сферы деятельности. По данным исследования Microsoft IoT Signals, в ходе которого были опрошены более 3 тыс. лиц, принимающих решения, из 6 стран (Великобритания, Германия, Китай, США, Франция, Япония), в 85% компаний запущен хотя бы 1 проект в области ИВ, еще в 5% компаний планируют его запустить. Причем 88% опрошенных считают интернет вещей критически важным для достижения успеха компании в целом.
В пятерку самых «ИВ-емких» сфер деятельности вошли торговля (интернет вещей используется у 90% опрошенных из этой отрасли), производство (87%), транспорт (86%), госструктуры (83%) и медицина (82%). Схожие данные получили аналитики Gartner, оценившие количество устройств интернета вещей в корпоративном секторе.
Количество устройств интернета вещей, применяемых в корпоративном секторе и автомобилестроении, млрд
| Сегмент | 2018 | 2019 | 2020 |
|---|---|---|---|
| ЖКХ | 0,98 | 1,17 | 1,37 |
| Решения для госсектора | 0,4 | 0,53 | 0,7 |
| Автоматизация зданий | 0,23 | 0,31 | 0,44 |
| Охранные системы | 0,83 | 0,95 | 1,09 |
| Производство и добыча ископаемых | 0,33 | 0,4 | 0,49 |
| Автомобильная отрасль | 0,27 | 0,36 | 0,47 |
| Медицина | 0,21 | 0,28 | 0,36 |
| Розничная и оптовая торговля | 0,29 | 0,36 | 0,44 |
| ИТ-сектор | 0,37 | 0,37 | 0,37 |
| Транспорт | 0,06 | 0,07 | 0,08 |
| Всего | 3,96 | 4,81 | 5,81 |
Источник: Gartner, 2019
Это довольно консервативная оценка. Если учитывать разнообразные пользовательские устройства (например — пресловутые «умные холодильники»), то счет пойдет на миллиарды.
Динамика количества подключенных устройств, млрд
Источник: Statista, 2019
Среднюю, между этими двумя, оценку дают аналитики IDC, полагающие, что к 2025 г. в мире будут использовать 41,6 млрд устройств интернета вещей.
Надо сказать, что оценки прежних лет были еще более оптимистичны, чем данные Statista, так, в Cisco предрекали 50 млрд ИВ-устройств уже в 2020 г. Однако оказалось, что с внедрением интернета вещей есть определенные проблемы. И одна из них, что неудивительно, с безопасностью.
Почему небезопасен интернет вещей и чем это грозит
Интернет вещей — это огромное количество устройств (на порядки превышающее число ПК, ноутбуков и смартфонов), вынесенных за пределы защищенного корпоративного периметра. Кроме того, их безопасностью долгое время никто всерьез не занимался.
Сейчас проблема начинает осознаваться, в упоминавшемся исследовании Microsoft 19% респондентов указали на безопасность как на одну из важнейших проблем. Четыре более насущных проблемы (сложность решений ИВ, недостаток средств и кадров, отсутствие необходимых знаний и невозможность найти «правильное» ИВ-решение) тоже могут иметь своими последствиями «дыры» в безопасности ИВ-систем.
Что касается самих проблем с безопасностью интернета вещей, то респонденты Microsoft ранжировали их следующим образом. Больше всего они обеспокоены ее обеспечением на уровне сети, так ответили 43% опрошенных.
Какие проблемы с безопасностью кажутся наиболее актуальными?
Источник: Microsoft, 2019
Огромное количество плохо защищенных устройств облегчает проведение DDoS-атак, в которых для нападения на корпоративные системы могут использоваться, в том числе, и потребительские устройства. Последние, зачастую, функционируют с паролем, установленным «по умолчанию». Так, например, функционирует ботнет Mirai — мощность устроенной с его помощью атаки на сайт, посвященный сетям ботов, в пике достигала 665 Гбит/с.
Добавляет актуальности проблеме скорое появление сетей 5G, которые обеспечат гораздо большую скорость передачи данных и количество подключенных ИВ-устройств.
Так что атаки с помощью устройств интернета вещей будут все более мощными. Среди возможных целей — системы управления критически важными элементами инфраструктуры в промышленности, жилищно-коммунальном секторе и энергетике. В этих сферах склонны проявлять консерватизм и работать на проверенных, хотя и устаревших ИТ-решениях. При этом, по оценкам аналитиков, до половины промышленных площадок подключены к «общедоступному» интернету и ИВ-устройства «видны» злоумышленникам.
Еще одна возможная цель — облачные провайдеры, у которых будут храниться данные, полученные с датчиков ИВ. По данным отчета Всемирного экономического форума, взлом крупного провайдера может нанести экономический ущерб в размере от $50 млрд до $120 млрд (последняя цифра сопоставима с потерями от урагана «Катрина», разрушившего Новый Орлеан в 2005 г.).
Теневой интернет вещей
Еще одна проблема — «теневой интернет вещей», одно из проявлений «теневых ИТ», информационных технологий, используемых сотрудниками в обход корпоративных правил и политик безопасности.
Использование теневых ИТ конечными пользователями в бизнесе имеет двойственные последствия, поскольку, если оставить в стороне проблемы безопасности, они могут расширить возможности и повысить производительность.
Понятие о масштабах использования «теневого ИВ» дает исследование Infoblox, которое показало, что в 2019 г. у 78% предприятий в корпоративных сетях насчитывалось более 1 тыс. подключенных устройств. При этом у 28% респондентов в сети было от 1 тыс. до 2 тыс. устройств, а у 48% — от 2 тыс. до 10 тыс.
При этом 80% руководителей ИТ заявили, что они выявили теневые устройства ИВ, такие, как несанкционированные точки беспроводного доступа, подключенные к их инфраструктуре. По крайней мере 46% обнаружили в своих сетях до 20 теневых ИВ-устройств, а 29% — более 20.
Роль вендоров
Производители, со своей стороны, тоже начинают сознавать собственную роль в обеспечении безопасности создаваемых ими устройств. В последние годы они вынуждены прилагать усилия, чтобы гарантировать определенную степень защиты устройств, например, стали тестировать их на проникновение или предусматривать возможность обновления встроенного ПО и применения патчей безопасности.
Вендоры платформ интернета вещей начинают также понимать, что единая программная платформа подойдет не всем заказчикам из-за уникального характера каждого бизнеса. В результате они используют облачные сервисы и предлагают приложения ИВ в партнерстве с облачными провайдерами. Это дает дополнительные возможности, но и порождает новые проблемы с безопасностью.
По мере развития рынка корпоративного интернета вещей поставщики соответствующих решений и сервисов начнут фокусировать внимание на безопасности. Такие принципы, как Security by Design станут конкурентным отличием и весомым аргументом для корпоративных клиентов, которые хотят использовать ИВ, но не могут позволить себе серьезные пробелы в безопасности. Важную роль в обработке и выявлении событий безопасности в потоке данных от датчиков, машин и устройств будет играть искусственный интеллект.
Однако пока, как отмечают многие исследователи, в области безопасности интернета вещей отсутствуют стандарты не только защиты, но и взаимодействия устройств ИВ. И пока не все производители ИВ-устройств заинтересованы в решении данного вопроса.
Как с этим бороться?
Осознание опасности, которую могут представлять незащищенные системы интернета вещей понемногу приходит к частным лицам и организациям. Так, исследование компании Gemalto показало, что 90% потребителей не уверены в безопасности устройств интернета вещей, более двух третей потребителей и почти в 80% организаций поддерживают участие государства в обеспечении безопасности интернета вещей. 96% представителей предприятий и 90% потребителей считают, что должны быть разработаны правила безопасности для интернета вещей.
54% потребителей владеют в среднем четырьмя устройствами интернета вещей, но только 14% говорят, что они осведомлены о безопасности данных устройств. При этом 65% обеспокоены тем, что хакеры смогут контролировать их устройства интернета вещей, а 60% опасаются утечки данных.
А исследование аналитиков Business Insider показало, что доля тех, кто включает вопросы безопасности в число двух главных проблем, возникающих при создании систем интернета вещей, в 2019 г. выросло на 8 процентных пункта (с 30% до 38%).
Вместе с ростом осознания важности защиты решений для интернета вещей, растет рынок соответствующих средств. Большинство аналитиков оценивает темпы его роста в среднесрочной перспективе в районе 30%. Разброс в абсолютных цифрах весьма велик (так же, как и расхождение в оценке количества устройств ИВ), скажем, данные по 2018 г. колеблются от $1,4 млрд до $16,6 млрд. Есть и промежуточные оценки, в районе $8 млрд.
Динамика затрат на безопасность интернета вещей по регионам, $млрд
Источник: MarketsandMarkerts, 2019
Если сопоставить эти данные с оценками MarketsandMarkets роста самого рынка интернета вещей ($170,6 млрд в 2017 г. и $561 млрд в 2022-м, скорость роста — 33,7% в год), то можно оценить долю затрат на безопасность: 3,8% общих затрат на ИВ в 2018 г., 4,9% — в 2023-м.
Кроме внедрения средств безопасности эксперты рекомендуют создавать карты активов, в которых перечислены все подключенные к сети устройства, обозначены критические области. При этом системы интернета вещей должны быть, по возможности, «отрезаны» от корпоративных систем. Как минимум, должна быть проведена сегментация сети и между сегментами должны быть установлены сетевые экраны.
Кроме того, устройства интернета вещей не должны быть «видны» извне. Проверить видимость устройств и применение в них настроек «по умолчанию» можно с помощью специальных веб-сервисов, которые за небольшую плату позволяют сканировать интернет вещей всем желающим. И, как отмечают специалисты по информационной безопасности, крайне важно изучить слабые места своей системы раньше хакеров.
Поделиться
Короткая ссылка
