Наступление эпохи Интернета вещей сулит появление более умных и полезных устройств как для потребителей, так и для предприятий. А корпоративным специалистам по ИТ и информационной безопасности Интернет вещей обещает новую «головную боль».
Во многих компаниях торопятся осваивать «умные» устройства и технологии Интернета вещей, чтобы поскорее поставить их преимущества себе на службу. Но восхищение может мешать трезво оценивать риски безопасности. Опрос ИТ-руководителей и специалистов, проведенный компанией Tripwire, показал, что 63% топ-менеджеров готовы внедрять Интернет вещей для повышения продуктивности и эффективности, но только 27% выразили серьезную озабоченность по поводу возможности появления новых рисков безопасности.
При этом лишь 30% ИТ-специалистов, участвовавших в опросе, сообщили, что их компании располагают всем необходимым, чтобы оценить защищенность внедряемых IoT-систем, тогда как 59% сотрудников средних и крупных предприятий считают, что Интернет вещей потенциально создает серьезнейшие риски для безопасности их сетей.
Чтобы подготовиться к наступлению эпохи Интернета вещей, специалистам по ИТ и безопасности нужно понимать риски и знать, как их ограничить. Перечислим, от чего стоит отталкиваться при анализе рисков Интернета вещей.
Нельзя недооценивать влияние Интернета вещей на безопасность
Интернет вещей уже становится объектом кибератак. В 2013 году компания Proofpoint, поставщик средств безопасности, объявила об обнаружении «первого достоверного случая» атаки на «умную» бытовую технику. Специалисты компании выявили ботнет, организованный с участием более 100 тыс. устройств, распространивших свыше 750 тыс. сообщений электронной почты со ссылками на вредоносы. Как выяснилось, больше 25% этих устройств – не компьютеры, планшеты или смартфоны, а «умные» телевизоры, холодильники и т. п.
Инцидент, в большей степени затрагивающий предприятия, произошел, когда розничная сеть Target подверглась массированному взлому. Оказалось, что атакующие воспользовались для проникновения в корпоративную сеть верительными данными, украденными у поставщика систем обогрева и кондиционирования воздуха, с которым сотрудничали в Target. Специалисты по информационной безопасности тогда указали на то, что в розничных магазинах растет применение «умных» инструментов управления температурой воздуха, внедряемых для улучшения обслуживания покупателей и оптимизации затрат на электроэнергию. Производители подобных устройств предусматривают для себя возможность дистанционного доступа к ним по сети для установки обновлений, заплат и т. п., а также для устранения проблем со связью. Сами заказчики таких решений прибегают к услугам дистанционной технической поддержки от производителя, поскольку они обходятся дешевле.
Поставщик, с которым работали в Target, отрицает, что выполнял дистанционный мониторинг своих систем. Тем не менее подобные ситуации вполне вероятны, и случившийся инцидент убедительно демонстрирует риски Интернета вещей для корпоративной сети. Сторонний поставщик, выполняющий возложенное на него дистанционное управление своими продуктами, может стать слабым звеном, через которое злоумышленники получат доступ к конфиденциальным данным. Учитывая, с какой готовностью во многих компаниях внедряют «умную» технику, данный риск нельзя недооценивать.
ИТ-служба должна быть в курсе покупки и внедрения «умных» устройств
Так повелось, что на предприятиях редко уделяли внимание вопросам кибербезопасности при покупке офисного и инженерного оборудования. Но теперь, когда эта прежде «безмозглая» техника соединяется с Интернетом, ИТ-службу просто необходимо информировать о всех подобных покупках.
Еще недавно вице-президент по исследованиям Gartner Хью Лехонг предостерегал: грядет наплыв «умной» техники, от медицинской аппаратуры до торговых автоматов. Обо всех этих устройствах в отделах ИТ раньше беспокоиться не было нужды. Теперь же, с наступлением реальности Интернета вещей, необходимо уведомлять ИТ-специалистов, даже когда в компании собираются купить новый торговый автомат.
«ИТ-директорам необходимо помнить об этом, – подчеркнул Лехонг. – Даже если они не будут отвечать за обслуживание такого автомата, о его возможностях им нужно знать. Именно это мы подразумеваем под конвергенцией. Операционный и ИТ-персонал больше не могут существовать в разных мирах. Им нужно согласовывать друг с другом такие вещи, как руководство, безопасность, лицензирование программного обеспечения и сопровождение».
Следите за обновлениями ПО для «умных» устройств
По словам Керка Штайнклаубера, ведущего сетевого архитектора IBM, «если сегодня мы не справляемся с тем, чтобы следить за свежестью ПО на компьютерах, смартфонах и планшетах, то организовать своевременную установку обновлений и заплат на все эти миллионы устройств завтрашнего дня будет и вовсе нереально».
Сказанное касается не только самой техники, но и приложений для управления ими, которые могут устанавливаться на множество оконечных устройств в компании.
Здесь еще раз важно напомнить о необходимости взаимодействия между ИТ-службой и операционным персоналом при внедрении Интернета вещей и «умной» техники. В ИТ-службе должны разработать строгие процессы и протоколы учета ПО, сопровождающего «умные» устройства. Ведь уже когда служащие начали пользоваться личными смартфонами для доступа к корпоративным данным, стало очевидно, что обеспечивать контроль над всем многообразием устройств и их программных ошибок постфактум – гораздо сложнее.
Разъясняйте риски конечным пользователям
Некоторые организации могут оказаться уязвимыми для угроз Интернета вещей, даже если не внедряют соответствующие технологии. Согласно опросу Tripwire, 75% удаленных сотрудников и специалистов отделов ИТ сообщили, что работают с корпоративными данными из домашних сетей через Интернет. В связи с этим возможны проблемы, если учесть что от 25 до 50% респондентов из тех же категорий указали, что к домашней сети у них также подключено как минимум одно «умное» устройство.
Несложно представить, чем это чревато. В докладе Tripwire, в частности, приводили в пример порт USB, известный своими уязвимостями. Поскольку через него заряжают всевозможную персональную электронику, он может стать точкой проникновения в компьютер вредоноса, способного из домашней сети «перебежать» в корпоративную.
Кроме укрепления внутренней антивирусной защиты, на предприятиях мало что могут сделать для снижения этого риска – разве что разъяснять служащим риски, существующие при дистанционной работе. Помимо прочего, необходимо постоянно подчеркивать, как важно применять инструменты, позволяющие изолировать личные данные от корпоративных.
В ИТ-службе должны быть в курсе нюансов Интернета вещей
Интернет вещей пока находится на самой ранней стадии развития. Во многих крупных ИТ-компаниях еще не определились, какие стандарты будет целесообразнее взять на вооружение, и пока еще не появились платформы, столь же влиятельные, как iOS и Android в мобильном мире. Под действием уникального сочетания конкурирующих сил формируется совершенно новая экосистема, в которой непросто будет освоиться даже опытным ИТ-специалистам. Это понимают, в частности, в компании Cisco, где год назад объявили о создании консорциума с участием вузов и агентств по найму. Задача консорциума – помогать ИТ-специалистам в приобретении навыков, необходимых для решения проблем безопасности Интернета вещей.
Но образовательные инициативы только начинают появляться, а потому сегодня Интернет вещей остается областью ИТ, в которой еще даже не устоялся набор необходимых компетенций. Компаниям, где не готовы заниматься решением проблем безопасности Интернета вещей, возможно, лучше всего будет подождать с внедрениями, пока ситуация не станет проще.
– Colin Neagle. 5 ways to prepare for Internet of Things security threats. Network World