Интернет вещей отличается сложностью и быстротой роста, переплетаясь зачастую с системами, которые управляют подачей воды и электроэнергии. Все это делает безопасность Интернета вещей важнейшим условием нормальной жизнедеятельности, однако не все хорошо это понимают.
Консорциум Промышленного интернета (Industrial Internet Consortium) — группа, в состав которой входит ряд ведущих игроков в области Интернета вещей, — постарался прояснить ситуацию и выпустил набор рекомендаций IISF (Industrial Internet Security Framework), призванных помочь разработчикам и пользователям оценить риски и принять необходимые меры защиты.
Подобно другим проектам IIC, фреймворк безопасности является также попыткой выработать консенсус между компаниями, которые участвуют в строительстве Интернета вещей и активно используют его. В данном случае группа решила систематизировать опыт внедрения в Интернете вещей средств безопасности и выработать общий язык для обсуждения этих вопросов.
Документ, который распространяется бесплатно, содержит технические детали рекомендуемых внедрений, но конкретные продукты затрагивает лишь вкратце. Долгосрочная цель заключается в том, чтобы сделать безопасность неотъемлемой частью любой системы и любого проекта Интернета вещей.
Консорциум Промышленного интернета располагает всем необходимым для того, чтобы привести предприятия отрасли к согласию. Он был образован более двух лет назад компаниями Cisco Systems, General Electric, AT&T, Intel и IBM. Среди авторов фреймворка безопасности — уже перечисленные компании, а также ряд других поставщиков, включая Fujitsu, Infineon, Schneider Electric и университеты.
Группа подчеркивает, что не является органом стандартизации, но хотела бы сформулировать требования для последующей разработки стандартов. Она занимается обобщением передового опыта, накопленного в различных областях, и разрабатывает тестовые модели, которые должны продемонстрировать, как следует подходить к внедрению технологий. Безопасность стала последней и, возможно, наиболее обсуждаемой областью, затронутой IIC.
«Уровень безопасности, характерный для потребительского Интернета, совершенно не подходит для Промышленного интернета», — заявил исполнительный директор IIC Ричард Соули.
Для того чтобы поднять степень доверия к Интернету вещей, нужно обеспечить сохранность, надежность, устойчивость, безопасность и конфиденциальность |
«Недостаточный уровень безопасности становится основным фактором, тормозящим развитие Промышленного интернета, — добавил сопредседатель рабочей группы IIC по обеспечению безопасности Хесус Молина. — Компоненты, которые повсеместно используются в корпоративных системах безопасности, — средства идентификации и так называемые корни доверия (root of trust) — в Интернете вещей на практике не встречаются».
Для того чтобы поднять степень доверия к Интернету вещей, нужно обеспечить сохранность, надежность, устойчивость, безопасность и конфиденциальность. Вопросы эти возникают потому, что Промышленный интернет объединяет множество компонентов (в том числе датчики и активаторы на границе предприятия), которых до недавнего времени не существовало или они не подключались к Интернету.
Эти пограничные соединения открывают очень опасные уязвимости, поскольку зачастую их проектирование предусматривало перенос весьма чувствительной для предприятия информации. Например, профилактическое обслуживание, являющееся общей целью многих проектов Интернета вещей, предполагает сбор данных о том, насколько хорошо работает оборудование. Обладание этими сведениями помогает компаниям заменять изношенные компоненты до того, как они разрушатся, но в случае попадания в чужие руки эти данные могут облегчить задачу атакующих или конкурентов.
Фреймворк обобщает передовой опыт в четырех областях, связанных с конечными точками, коммуникациями, мониторингом и конфигурациями. Рекомендации адресованы создателям компонентов, архитекторам систем и пользователям. В дальнейшем IIC планирует использовать накопленный опыт в проектах формирования тестовых моделей.
При решении проблем безопасности Интернета вещей Консорциум Промышленного интернета будет поддерживать связь с правительственными организациями, но не намерен прибегать к принудительным мерам на уровне законодательных инициатив. Вместо этого группа сформирует несколько альянсов, которые займутся поиском консенсуса. В ходе очередного заседания IIC устроит встречу со сторонниками инициативы Industry 4.0 и продолжит работу со Всемирным экономическим форумом.