В то время как специалисты по безопасности постоянно предупреждают о риске кибератак, они редко упоминают о рисках, связанных с Интернетом вещей (IoT).
Глобальная связь между всеми устройствами создает существенные проблемы безопасности. Недавно представленные отчеты о возможности злоумышленников удаленно управлять автомобилями показывает огромные угрозы, представляемые IoT. Все это вызывает вопросы о текущих методах управления угрозами безопасности и иллюстрирует проблемы IoT.
Согласно определению Gartner, «IoT — сеть физических объектов, содержащих встроенные технологии связи и взаимодействия с внутренними состояниями или внешней средой». Сегодня многие устройства управляются встроенными операционными системами и соединены с Интернетом, что создает новые возможности для потребителей. Согласно предсказаниям Gartner, к 2020 г. ожидается появление порядка 26 млрд. устройств, соединенных с Интернетом, в то время как некоторые другие аналитики говорят о том, что их количество превысит 100 млрд.
Существует много приложений IoT: системы домашней сигнализации, передающие предупреждения на смартфон, смарт-часы, которые собирают медицинские данные, совместно используемые с врачами, гаджеты, вычисляющие оптимальный маршрут, холодильники, напоминающие хозяевам купить необходимые товары и пр. На макроуровне это «умные» городские приложения, такие как «умная» парковка и «умное» освещение. IoT обеспечивает бесконечные возможности, многие из которых мы пока не можем себе вообразить.
Рынок IoT все еще находится в начале развития, однако порождает огромные ожидания, обещая открыть новые рынки, обеспечивая огромное количество информации о покупательских привычках покупателей для дальнейшего управления продажами.
Вместе с тем необходимо понять, что существует и темная сторона IoT, связанная с безопасностью и конфиденциальностью. Типичный пример — недавний случай, когда исследователи на примере взлома бортовой коммуникационной системы Jeep показали, как можно взять под свой контроль автомобиль. То что не единичный пример, было задокументировано в исследовании PT&CLWG. Судебные специалисты указали, что изделия многих автомобилестроительных компаний могут быть взломаны.
Однако это только верхушка айсберга, если мы говорим о безопасности IoT. В отличие от традиционных кибератак, инциденты IoT не ограничиваются хищением информации, вместо этого они могут использоваться, чтобы нанести физический вред и непосредственный ущерб.
Кроме того, не стоит забывать, что расширение IoT может привести к возрастанию угроз нарушения корпоративной безопасности. Согласно Роберту Бигмену, бывшему CISO ЦРУ США, устройства IoT, управляющие персональными медицинскими системами, станут следующим золотым дном для шантажа и получения выкупа. В связи с IoT, как и в случае с BYOD, компании должны адаптировать свои методы управления рисками и расширять свои оценки рисков. Если смарт-часы сотрудника может быть использован для перехвата паролей корпоративного Wi-Fi, то такие часы попадают под оценку риска корпоративной ИБ.
Время покажет, смогут ли разработчики IoT объединиться и создать единый стандарт безопасности. Пока такового не существует.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.
