Почему проблему безопасности интернета вещей оказалось так трудно решить?

, Текст: Сергей Орлов

Интернет вещей становится неотъемлемой частью корпоративных систем во всех сферах деятельности, количество подключенных устройств стремительно растет, так же, как и объемы данных, которые они генерируют. При этом многие решения интернета вещей до сих пор плохо защищены.

Интернет вещей быстро проникает во все сферы деятельности. По данным исследования Microsoft IoT Signals, в ходе которого были опрошены более 3 тыс. лиц, принимающих решения, из 6 стран (Великобритания, Германия, Китай, США, Франция, Япония), в 85% компаний запущен хотя бы 1 проект в области ИВ, еще в 5% компаний планируют его запустить. Причем 88% опрошенных считают интернет вещей критически важным для достижения успеха компании в целом.

В пятерку самых «ИВ-емких» сфер деятельности вошли торговля (интернет вещей используется у 90% опрошенных из этой отрасли), производство (87%), транспорт (86%), госструктуры (83%) и медицина (82%). Схожие данные получили аналитики Gartner, оценившие количество устройств интернета вещей в корпоративном секторе.

Количество устройств интернета вещей, применяемых в корпоративном секторе и автомобилестроении, млрд

Сегмент201820192020
ЖКХ0,981,171,37
Решения для госсектора0,40,530,7
Автоматизация зданий0,230,310,44
Охранные системы0,830,951,09
Производство и добыча ископаемых0,330,40,49
Автомобильная отрасль0,270,360,47
Медицина0,210,280,36
Розничная и оптовая торговля0,290,360,44
ИТ-сектор0,370,370,37
Транспорт0,060,070,08
Всего3,964,815,81

Источник: Gartner, 2019

Это довольно консервативная оценка. Если учитывать разнообразные пользовательские устройства (например — пресловутые «умные холодильники»), то счет пойдет на миллиарды.

Динамика количества подключенных устройств, млрд

iotstatista.png

Источник: Statista, 2019

Среднюю, между этими двумя, оценку дают аналитики IDC, полагающие, что к 2025 г. в мире будут использовать 41,6 млрд устройств интернета вещей.

Надо сказать, что оценки прежних лет были еще более оптимистичны, чем данные Statista, так, в Cisco предрекали 50 млрд ИВ-устройств уже в 2020 г. Однако оказалось, что с внедрением интернета вещей есть определенные проблемы. И одна из них, что неудивительно, с безопасностью.

Почему небезопасен интернет вещей и чем это грозит

Интернет вещей — это огромное количество устройств (на порядки превышающее число ПК, ноутбуков и смартфонов), вынесенных за пределы защищенного корпоративного периметра. Кроме того, их безопасностью долгое время никто всерьез не занимался.

Сейчас проблема начинает осознаваться, в упоминавшемся исследовании Microsoft 19% респондентов указали на безопасность как на одну из важнейших проблем. Четыре более насущных проблемы (сложность решений ИВ, недостаток средств и кадров, отсутствие необходимых знаний и невозможность найти «правильное» ИВ-решение) тоже могут иметь своими последствиями «дыры» в безопасности ИВ-систем.

Что касается самих проблем с безопасностью интернета вещей, то респонденты Microsoft ранжировали их следующим образом. Больше всего они обеспокоены ее обеспечением на уровне сети, так ответили 43% опрошенных.

Какие проблемы с безопасностью кажутся наиболее актуальными?

problemy_s_bezopasnostyu.png

Источник: Microsoft, 2019

Огромное количество плохо защищенных устройств облегчает проведение DDoS-атак, в которых для нападения на корпоративные системы могут использоваться, в том числе, и потребительские устройства. Последние, зачастую, функционируют с паролем, установленным «по умолчанию». Так, например, функционирует ботнет Mirai — мощность устроенной с его помощью атаки на сайт, посвященный сетям ботов, в пике достигала 665 Гбит/с.

Добавляет актуальности проблеме скорое появление сетей 5G, которые обеспечат гораздо большую скорость передачи данных и количество подключенных ИВ-устройств.

Так что атаки с помощью устройств интернета вещей будут все более мощными. Среди возможных целей — системы управления критически важными элементами инфраструктуры в промышленности, жилищно-коммунальном секторе и энергетике. В этих сферах склонны проявлять консерватизм и работать на проверенных, хотя и устаревших ИТ-решениях. При этом, по оценкам аналитиков, до половины промышленных площадок подключены к «общедоступному» интернету и ИВ-устройства «видны» злоумышленникам.

Еще одна возможная цель — облачные провайдеры, у которых будут храниться данные, полученные с датчиков ИВ. По данным отчета Всемирного экономического форума, взлом крупного провайдера может нанести экономический ущерб в размере от $50 млрд до $120 млрд (последняя цифра сопоставима с потерями от урагана «Катрина», разрушившего Новый Орлеан в 2005 г.).

Теневой интернет вещей

Еще одна проблема — «теневой интернет вещей», одно из проявлений «теневых ИТ», информационных технологий, используемых сотрудниками в обход корпоративных правил и политик безопасности.

Использование теневых ИТ конечными пользователями в бизнесе имеет двойственные последствия, поскольку, если оставить в стороне проблемы безопасности, они могут расширить возможности и повысить производительность.

Понятие о масштабах использования «теневого ИВ» дает исследование Infoblox, которое показало, что в 2019 г. у 78% предприятий в корпоративных сетях насчитывалось более 1 тыс. подключенных устройств. При этом у 28% респондентов в сети было от 1 тыс. до 2 тыс. устройств, а у 48% — от 2 тыс. до 10 тыс.

При этом 80% руководителей ИТ заявили, что они выявили теневые устройства ИВ, такие, как несанкционированные точки беспроводного доступа, подключенные к их инфраструктуре. По крайней мере 46% обнаружили в своих сетях до 20 теневых ИВ-устройств, а 29% — более 20.

Роль вендоров

Производители, со своей стороны, тоже начинают сознавать собственную роль в обеспечении безопасности создаваемых ими устройств. В последние годы они вынуждены прилагать усилия, чтобы гарантировать определенную степень защиты устройств, например, стали тестировать их на проникновение или предусматривать возможность обновления встроенного ПО и применения патчей безопасности.

Вендоры платформ интернета вещей начинают также понимать, что единая программная платформа подойдет не всем заказчикам из-за уникального характера каждого бизнеса. В результате они используют облачные сервисы и предлагают приложения ИВ в партнерстве с облачными провайдерами. Это дает дополнительные возможности, но и порождает новые проблемы с безопасностью.

По мере развития рынка корпоративного интернета вещей поставщики соответствующих решений и сервисов начнут фокусировать внимание на безопасности. Такие принципы, как Security by Design станут конкурентным отличием и весомым аргументом для корпоративных клиентов, которые хотят использовать ИВ, но не могут позволить себе серьезные пробелы в безопасности. Важную роль в обработке и выявлении событий безопасности в потоке данных от датчиков, машин и устройств будет играть искусственный интеллект.

Однако пока, как отмечают многие исследователи, в области безопасности интернета вещей отсутствуют стандарты не только защиты, но и взаимодействия устройств ИВ. И пока не все производители ИВ-устройств заинтересованы в решении данного вопроса.

Как с этим бороться?

Осознание опасности, которую могут представлять незащищенные системы интернета вещей понемногу приходит к частным лицам и организациям. Так, исследование компании Gemalto показало, что 90% потребителей не уверены в безопасности устройств интернета вещей, более двух третей потребителей и почти в 80% организаций поддерживают участие государства в обеспечении безопасности интернета вещей. 96% представителей предприятий и 90% потребителей считают, что должны быть разработаны правила безопасности для интернета вещей.

54% потребителей владеют в среднем четырьмя устройствами интернета вещей, но только 14% говорят, что они осведомлены о безопасности данных устройств. При этом 65% обеспокоены тем, что хакеры смогут контролировать их устройства интернета вещей, а 60% опасаются утечки данных.

А исследование аналитиков Business Insider показало, что доля тех, кто включает вопросы безопасности в число двух главных проблем, возникающих при создании систем интернета вещей, в 2019 г. выросло на 8 процентных пункта (с 30% до 38%).

Вместе с ростом осознания важности защиты решений для интернета вещей, растет рынок соответствующих средств. Большинство аналитиков оценивает темпы его роста в среднесрочной перспективе в районе 30%. Разброс в абсолютных цифрах весьма велик (так же, как и расхождение в оценке количества устройств ИВ), скажем, данные по 2018 г. колеблются от $1,4 млрд до $16,6 млрд. Есть и промежуточные оценки, в районе $8 млрд.

Динамика затрат на безопасность интернета вещейпо регионам, $млрд

dinamikazatratporegionam.jpg

Источник: MarketsandMarkerts, 2019

Если сопоставить эти данные с оценками MarketsandMarkets роста самого рынка интернета вещей ($170,6 млрд в 2017 г. и $561 млрд в 2022-м, скорость роста — 33,7% в год), то можно оценить долю затрат на безопасность: 3,8% общих затрат на ИВ в 2018 г., 4,9% — в 2023-м.

Кроме внедрения средств безопасности эксперты рекомендуют создавать карты активов, в которых перечислены все подключенные к сети устройства, обозначены критические области. При этом системы интернета вещей должны быть, по возможности, «отрезаны» от корпоративных систем. Как минимум, должна быть проведена сегментация сети и между сегментами должны быть установлены сетевые экраны.

Кроме того, устройства интернета вещей не должны быть «видны» извне. Проверить видимость устройств и применение в них настроек «по умолчанию» можно с помощью специальных веб-сервисов, которые за небольшую плату позволяют сканировать интернет вещей всем желающим. И, как отмечают специалисты по информационной безопасности, крайне важно изучить слабые места своей системы раньше хакеров.

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"