Почему проблему безопасности интернета вещей оказалось так трудно решить?

21.05.2020, Чт, 15:00, Мск , Текст: Сергей Орлов

Интернет вещей становится неотъемлемой частью корпоративных систем во всех сферах деятельности, количество подключенных устройств стремительно растет, так же, как и объемы данных, которые они генерируют. При этом многие решения интернета вещей до сих пор плохо защищены.

Интернет вещей быстро проникает во все сферы деятельности. По данным исследования Microsoft IoT Signals, в ходе которого были опрошены более 3 тыс. лиц, принимающих решения, из 6 стран (Великобритания, Германия, Китай, США, Франция, Япония), в 85% компаний запущен хотя бы 1 проект в области ИВ, еще в 5% компаний планируют его запустить. Причем 88% опрошенных считают интернет вещей критически важным для достижения успеха компании в целом.

В пятерку самых «ИВ-емких» сфер деятельности вошли торговля (интернет вещей используется у 90% опрошенных из этой отрасли), производство (87%), транспорт (86%), госструктуры (83%) и медицина (82%). Схожие данные получили аналитики Gartner, оценившие количество устройств интернета вещей в корпоративном секторе.

Количество устройств интернета вещей, применяемых в корпоративном секторе и автомобилестроении, млрд

Сегмент 2018 2019 2020
ЖКХ 0,98 1,17 1,37
Решения для госсектора 0,4 0,53 0,7
Автоматизация зданий 0,23 0,31 0,44
Охранные системы 0,83 0,95 1,09
Производство и добыча ископаемых 0,33 0,4 0,49
Автомобильная отрасль 0,27 0,36 0,47
Медицина 0,21 0,28 0,36
Розничная и оптовая торговля 0,29 0,36 0,44
ИТ-сектор 0,37 0,37 0,37
Транспорт 0,06 0,07 0,08
Всего 3,96 4,81 5,81

Источник: Gartner, 2019

Это довольно консервативная оценка. Если учитывать разнообразные пользовательские устройства (например — пресловутые «умные холодильники»), то счет пойдет на миллиарды.

Динамика количества подключенных устройств, млрд

iotstatista.png

Источник: Statista, 2019

Среднюю, между этими двумя, оценку дают аналитики IDC, полагающие, что к 2025 г. в мире будут использовать 41,6 млрд устройств интернета вещей.

Надо сказать, что оценки прежних лет были еще более оптимистичны, чем данные Statista, так, в Cisco предрекали 50 млрд ИВ-устройств уже в 2020 г. Однако оказалось, что с внедрением интернета вещей есть определенные проблемы. И одна из них, что неудивительно, с безопасностью.

Почему небезопасен интернет вещей и чем это грозит

Интернет вещей — это огромное количество устройств (на порядки превышающее число ПК, ноутбуков и смартфонов), вынесенных за пределы защищенного корпоративного периметра. Кроме того, их безопасностью долгое время никто всерьез не занимался.

Сейчас проблема начинает осознаваться, в упоминавшемся исследовании Microsoft 19% респондентов указали на безопасность как на одну из важнейших проблем. Четыре более насущных проблемы (сложность решений ИВ, недостаток средств и кадров, отсутствие необходимых знаний и невозможность найти «правильное» ИВ-решение) тоже могут иметь своими последствиями «дыры» в безопасности ИВ-систем.

Что касается самих проблем с безопасностью интернета вещей, то респонденты Microsoft ранжировали их следующим образом. Больше всего они обеспокоены ее обеспечением на уровне сети, так ответили 43% опрошенных.

Какие проблемы с безопасностью кажутся наиболее актуальными?

problemy_s_bezopasnostyu.png

Источник: Microsoft, 2019

Огромное количество плохо защищенных устройств облегчает проведение DDoS-атак, в которых для нападения на корпоративные системы могут использоваться, в том числе, и потребительские устройства. Последние, зачастую, функционируют с паролем, установленным «по умолчанию». Так, например, функционирует ботнет Mirai — мощность устроенной с его помощью атаки на сайт, посвященный сетям ботов, в пике достигала 665 Гбит/с.

Добавляет актуальности проблеме скорое появление сетей 5G, которые обеспечат гораздо большую скорость передачи данных и количество подключенных ИВ-устройств.

Так что атаки с помощью устройств интернета вещей будут все более мощными. Среди возможных целей — системы управления критически важными элементами инфраструктуры в промышленности, жилищно-коммунальном секторе и энергетике. В этих сферах склонны проявлять консерватизм и работать на проверенных, хотя и устаревших ИТ-решениях. При этом, по оценкам аналитиков, до половины промышленных площадок подключены к «общедоступному» интернету и ИВ-устройства «видны» злоумышленникам.

Еще одна возможная цель — облачные провайдеры, у которых будут храниться данные, полученные с датчиков ИВ. По данным отчета Всемирного экономического форума, взлом крупного провайдера может нанести экономический ущерб в размере от $50 млрд до $120 млрд (последняя цифра сопоставима с потерями от урагана «Катрина», разрушившего Новый Орлеан в 2005 г.).

Теневой интернет вещей

Еще одна проблема — «теневой интернет вещей», одно из проявлений «теневых ИТ», информационных технологий, используемых сотрудниками в обход корпоративных правил и политик безопасности.

Использование теневых ИТ конечными пользователями в бизнесе имеет двойственные последствия, поскольку, если оставить в стороне проблемы безопасности, они могут расширить возможности и повысить производительность.

Понятие о масштабах использования «теневого ИВ» дает исследование Infoblox, которое показало, что в 2019 г. у 78% предприятий в корпоративных сетях насчитывалось более 1 тыс. подключенных устройств. При этом у 28% респондентов в сети было от 1 тыс. до 2 тыс. устройств, а у 48% — от 2 тыс. до 10 тыс.

При этом 80% руководителей ИТ заявили, что они выявили теневые устройства ИВ, такие, как несанкционированные точки беспроводного доступа, подключенные к их инфраструктуре. По крайней мере 46% обнаружили в своих сетях до 20 теневых ИВ-устройств, а 29% — более 20.

Роль вендоров

Производители, со своей стороны, тоже начинают сознавать собственную роль в обеспечении безопасности создаваемых ими устройств. В последние годы они вынуждены прилагать усилия, чтобы гарантировать определенную степень защиты устройств, например, стали тестировать их на проникновение или предусматривать возможность обновления встроенного ПО и применения патчей безопасности.

Вендоры платформ интернета вещей начинают также понимать, что единая программная платформа подойдет не всем заказчикам из-за уникального характера каждого бизнеса. В результате они используют облачные сервисы и предлагают приложения ИВ в партнерстве с облачными провайдерами. Это дает дополнительные возможности, но и порождает новые проблемы с безопасностью.

По мере развития рынка корпоративного интернета вещей поставщики соответствующих решений и сервисов начнут фокусировать внимание на безопасности. Такие принципы, как Security by Design станут конкурентным отличием и весомым аргументом для корпоративных клиентов, которые хотят использовать ИВ, но не могут позволить себе серьезные пробелы в безопасности. Важную роль в обработке и выявлении событий безопасности в потоке данных от датчиков, машин и устройств будет играть искусственный интеллект.

Однако пока, как отмечают многие исследователи, в области безопасности интернета вещей отсутствуют стандарты не только защиты, но и взаимодействия устройств ИВ. И пока не все производители ИВ-устройств заинтересованы в решении данного вопроса.

Как с этим бороться?

Осознание опасности, которую могут представлять незащищенные системы интернета вещей понемногу приходит к частным лицам и организациям. Так, исследование компании Gemalto показало, что 90% потребителей не уверены в безопасности устройств интернета вещей, более двух третей потребителей и почти в 80% организаций поддерживают участие государства в обеспечении безопасности интернета вещей. 96% представителей предприятий и 90% потребителей считают, что должны быть разработаны правила безопасности для интернета вещей.

54% потребителей владеют в среднем четырьмя устройствами интернета вещей, но только 14% говорят, что они осведомлены о безопасности данных устройств. При этом 65% обеспокоены тем, что хакеры смогут контролировать их устройства интернета вещей, а 60% опасаются утечки данных.

А исследование аналитиков Business Insider показало, что доля тех, кто включает вопросы безопасности в число двух главных проблем, возникающих при создании систем интернета вещей, в 2019 г. выросло на 8 процентных пункта (с 30% до 38%).

Вместе с ростом осознания важности защиты решений для интернета вещей, растет рынок соответствующих средств. Большинство аналитиков оценивает темпы его роста в среднесрочной перспективе в районе 30%. Разброс в абсолютных цифрах весьма велик (так же, как и расхождение в оценке количества устройств ИВ), скажем, данные по 2018 г. колеблются от $1,4 млрд до $16,6 млрд. Есть и промежуточные оценки, в районе $8 млрд.

Динамика затрат на безопасность интернета вещейпо регионам, $млрд

dinamikazatratporegionam.jpg

Источник: MarketsandMarkerts, 2019

Если сопоставить эти данные с оценками MarketsandMarkets роста самого рынка интернета вещей ($170,6 млрд в 2017 г. и $561 млрд в 2022-м, скорость роста — 33,7% в год), то можно оценить долю затрат на безопасность: 3,8% общих затрат на ИВ в 2018 г., 4,9% — в 2023-м.

Кроме внедрения средств безопасности эксперты рекомендуют создавать карты активов, в которых перечислены все подключенные к сети устройства, обозначены критические области. При этом системы интернета вещей должны быть, по возможности, «отрезаны» от корпоративных систем. Как минимум, должна быть проведена сегментация сети и между сегментами должны быть установлены сетевые экраны.

Кроме того, устройства интернета вещей не должны быть «видны» извне. Проверить видимость устройств и применение в них настроек «по умолчанию» можно с помощью специальных веб-сервисов, которые за небольшую плату позволяют сканировать интернет вещей всем желающим. И, как отмечают специалисты по информационной безопасности, крайне важно изучить слабые места своей системы раньше хакеров.


Полный текст статьи читайте на CNews