Что следует знать о кибербезопасности и Интернете вещей

Что следует знать о кибербезопасности и Интернете вещей

Стремительное распространение Интернета вещей приводит к возрастанию рисков, связанных с безопасностью. Мы связались со старшим исследователем по безопасности Kaspersky Lab Владимиром Дащенко и попросили его поделиться решением проблемы. Давайте рассмотрим три утверждения о безопасности IoT в рабочей обстановке и разберёмся, что из этого факт, а что – вымысел.

Факт или вымысел? Интернет вещей предоставляет больше векторов атак, чем когда-либо.

Факт: Уровень увеличения векторов атак посредством Интернета вещей гораздо выше, чем был раньше.

Комментарий: Новые функции и "фичи" для умных устройств открывают и новые поля для атак.

 "Модные" технологии — не только удобство, но и ответственность: со стороны производителей – за безопасность устройств, а пользователей – за сохранность своих данных.

Например, умный холодильник стал частью бот-сети и начал рассылать спам; умная кофеварка оказалась причиной атаки на индустриальные сети с последующим заражением компьютеров для мониторинга технологического процесса вирусом-вымогателем.

Решение проблемы: Безопасность должна быть предусмотрена на уровне проектирования дизайна новых устройств, решений и технологий. Если создавать решения на изначально безопасной платформе – мы сможем избавиться от целого ряда классических проблем и уязвимостей.

Факт или вымысел? Слежка за сотрудниками и виртуальное преследование – главные риски при использовании Интернета вещей.

Вымысел: Следует разделять слежку, преследование и сбор информации о пользовании продуктом, который позволяет производителю сделать продукты удобнее.

 При проектировании новых технологий следует брать за основу безопасность. Однако порой разработчики умышленно или неумышленно оставляют недокументированный канал, который не просто собирает информацию о применении устройства, но и позволяет проникать в личное пространство конечного пользователя.

 С другой стороны, есть интерес злоумышленников. Если проблемы безопасности не решены на этапе дизайна и проектирования решения – такие оплошности позволяют получить несанкционированный доступ к устройствам в гигантских масштабах.

Решение проблемы:

 Необходимо внедрять SDL для всех этапов разработки новых технологий, а также регулярно проводить исследования безопасности продуктов и технологий с привлечением сторонних команд по аудиту. Безопасность должна быть в основе всего, что только появляется, планируется или модернизируется.

 В существующих сетях со smart- и IoT-решениями необходимо разграничивать и отделять непроверенные и непротестированные решения от продуктовых сетей. Например, не стоит включать умную кофеварку в общую сеть на промышленном предприятии.

Факт или вымысел? Безопасность должна быть частью жизненного цикла продукта при разработке устройств IoT.

Факт: Безопасность должна быть частью жизненного цикла разработки любого продукта. Серьезные решения и технологии уже имеют внедренные циклы безопасной разработки. Но большинство новых современных решений и технологий появляются как стартапы, где основная идея заключается далеко не в безопасности.

Решение проблемы:

 С одной стороны, мы должны видеть шаги со стороны государства по вопросам регулирования безопасности в IoT. С другой – внутреннюю ответственность производителя перед потребителем. Нельзя допускать глупых ошибок, которые приводят к возникновению критичных уязвимостей в устройствах, собирающих информацию об активности в Интернете.

 Решением будет слаженное взаимодействие и диалог регуляторов и производителей IoT/Smart-устройств и технологий.

Securitylab