27 марта 2019 / Время работы: 10:00-18:00

Проблемы безопасности Интернета вещей и способы их решения

Проблемы безопасности Интернета вещей и способы их решения

Вопрос безопасности IoT – одна из главных проблем быстрого роста, которые неминуемо возникают, когда отрасль стремительно развивается. Согласно информации портала Statista, в 2025 году в мире будет 75 млрд подключенных к сети устройств, которые необходимо защитить от виртуальных и физических атак.

В чем состоит уязвимость Интернета вещей

Концепция IoT заключается в том, что умные устройства, способные обмениваться данными друг с другом, объединяются в сеть, при этом ими можно управлять удаленно. Основная угроза состоит в том, что информация, которую собирают устройства, а также их непосредственная работа могут стать целью хакеров и мошенников.

Один из основных показателей безопасности IoT-устройств – возможность персонализировать прибор без дополнительных усилий и затрат (подключить к сети и ввести ключи доступа). Кроме того, имеет значение целостность кода и возможность отражать атаки. Проблемы возникают и со стороны пользователей, и со стороны производителей. Например, далеко не все владельцы устройств заменяют заводские пароли на более сложные. Производители же в погоне за быстрым заработком и желанием побыстрее вывести устройство на рынок не всегда должным образом тестируют коды своих продуктов.

Специалисты из корпорации HP провели исследование, подсчитав проблемы и уязвимости Интернета вещей, которые требуют решения. Список основных из них выглядит таким образом:

  • фабричные учетные записи, ненадежная аутентификация;
  • производитель не помогает устранять уязвимости;
  • проблемы с обновлением программного обеспечения;
  • использование ненужных открытых портов, незащищенных технологий;
  • плохо обеспеченная безопасность облачной инфраструктуры;
  • использование небезопасного ПО.

Согласно данным аналитиков, с хакерскими атаками в сфере IoT с 2015 по 2018 годы столкнулись 20% компаний. Это происходило из-за того, что организации не уделяли достаточно внимания вопросу, у какого производителя покупают устройства, а также не настраивали их должным образом.

Как хакеры используют слабые места IoT

Для хакерских атак злоумышленники зачастую используют ботнеты – сети компьютеров, зараженных вирусным ПО. Так, еще в 2016 году состоялась крупная DDoS-атака на инфраструктуру DNS-провайдера Dyn. Она была проведена с помощью ботнета Mirai из 100 000 IoT-устройств. В результате большая часть популярных сайтов в США оказалась недоступной.

Ботнет Mirai подобрал комбинации логинов и паролей по умолчанию и взломал тысячи умных камер и роутеров. С их помощью и были осуществлены DDoS-атаки, в том числе на провайдерские сети UK Postal Office, TalkTalk, KCOM и Eircom. Исходный код ботнета злоумышленники выложили в Интернете, а это повысило риски того, что другие хакеры смогут использовать его.

IOT Conference: Problemyi bezopasnosti Interneta veschey i sposobyi ih resheniya 1

Чем подобные уязвимости реально опасны?

Они могут причинить физический вред человеку (например, если получен доступ к взрывоопасной или огнеопасной технике) или вызвать простои на производствах (что повлечет за собой большие убытки).

Поиском уязвимостей Интернета вещей занимаются специалисты по кибербезопасности. Например, копания Check Point Software Technologies Ltd. В 2017 году ее эксперты обнаружили угрозу для умных домашних устройств SmartThinkQ. Из-за нее приборы могли взломать и получить доступ ко всей домашней сети владельцев.

А работники подразделения безопасности Panasonic нашли слабое место в защите умного унитаза, который управляется с помощью Bluetooth на мобильном устройстве. С помощью обнаруженной лазейки хакеры бы могли полностью контролировать работу девайса.

Но опасность не в том, что какие-то злоумышленники способны пугать людей, неожиданно включая слив воды в туалете.Взломав одно умное устройство, злоумышленники могут получить доступ ко всей сети, включая входные замки и счета с денежными средствами.

Поможет ли сертификация защитить IoT-устройства

Проблему, связанную с защищенностью IoT-девайсов, частично способна решить сертификация. Прохождение проверки и получение соответствующего сертификата будет гарантировать клиенту определенную защиту от покушений злоумышленников в сети. Главное условие такой процедуры, чтобы она была доступна производителям и не превратилась в чистую формальность.

Компания Online Trust Alliance (OTA) подала идею, как можно повысить безопасность IoT-устройств. Она составила список требований к производителям и поставщикам услуг – IoT Trust Framework. Этот перечень должен обеспечить безопасность и жизнеспособность продуктов Интернета вещей. На его основе можно составлять программы сертификации устройств, а также оценивать существующие риски.

Сейчас уже функционирует определенное количество IoT-сертификатов, которые разработали частные компании. Например, компания Verizon – ICSA Labs создала свою программу, которая проверяет безопасность IoT-устройств.

Защищенность приборов рассматривается по таким критериям:

  • протоколирование;
  • криптография;
  • аутентификация;
  • связь;
  • физическая безопасность;
  • защищенность платформы.

А разработка компании UL Cybersecurity Assurance (CAP) тестирует не только безопасность продуктов, но и систем. Сертификат CAP подтверждает, что обновления программного обеспечения для устройства не снизят защиту и не увеличат риски атаки.

В 2018 году немецкая компания SAP, которая производит программное обеспечение, внедрила в СНГ свою программу сертификации IoT-оборудования. В ее рамках устройства проходят тестирование и получают соответствующий знак качества. Он подтверждает, что устройства безопасны и могут использоваться в проектах Интернета вещей.

Заместитель европейского комиссара по цифровой экономике и обществу Тибо Клейнер считает, что меры по защите IoT от атак нужно принимать на государственном уровне, в частности – сделать сертификацию обязательной для всех приборов Интернета вещей. Подобная процедура должна касаться не только устройств, но и сетей и облачных хранилищ.

IOT Conference: Problemyi bezopasnosti Interneta veschey i sposobyi ih resheniya 2

Блокчейн как способ обезопасить IoT

Одно из самых эффективных решений, которое обеспечит безопасность Интернета вещей, это блокчейн. Интеграция технологии распределенного реестра в область IoT уменьшает число точек для хакерских атак и снижает риски, связанные с централизацией. Например, при взломе одного девайса система, работающая на блокчейне, не пострадает.

Использование блокчейна предусматривает, что пользователи не смогут изменять записи о своих действиях в системе IoT. Таким образом, технология распределенного реестра обезопасит компании, которые осуществляют финансовые операции, аудит и мониторинг цепочки поставок. Также блокчейн можно использовать в умных городах для защиты смарт-устройств от взлома (например, умных светофоров). Технология распределенного реестра также помогает управлять аутентификацией, тестировать работоспособность сервисов.

В 2018 году Cisco, BNY Mellon, Bosch и другие крупные компании создали консорциум, который разрабатывает решения, способные повысить безопасность IoT с помощью блокчейна. Также проекты по развитию блокчейна для корпоративной среды реализует корпорация Intel.

Согласно данным опроса компании Gemalto, в секторе IoT стали больше применять технологию распределенного реестра. Эти показатели колеблются от 9 до 19% за 2018 год. Также стало известно, что 91% компаний, которые пока не используют блокчейн, готовы применить технологию в будущем. При этом 23% респондентов уверены, что блокчейн – самое лучшее решение, которое обеспечит безопасность IoT-устройств.

Итоги

Аналитики из компании Gartner считают, что рынок Интернета вещей будет расти, а дополнительно этому поспособствует спрос на инструменты и сервисы, которые нацелены на поиск угроз. Также будет пользоваться популярностью тестирование IoT-систем с целью оценить, насколько они защищены от взлома. Таким образом, затраты на информационную защиту Интернета вещей увеличатся до $3,1 млрд уже в 2021 году.

Опрос специалистов по киберзащите за 2018 год показал, что безопасность в IoT требует регулирования на уровне правительства, в частности необходимо внедрить общие правила защиты. Ровно 50% предприятий, применяющих в работе технологии Интернета вещей, даже не могут определить, подвергались ли приборы атаке. Блокчейн как инструмент, который обеспечивает безопасность, становится популярнее, но недостаточно быстро. Так, большая часть респондентов предпочитает шифровать информацию (71%), остальные используют пароли и двухфакторную аутентификацию.

Какой бы способ ни выбрали компании, главное – не бездействовать.

Назад
Другие новости
Следите за новостями