Автор Нэнси Лэнгмейер (Nancy Langmeyer)
Кому нужны наши системы интернета вещей? В них нет никаких данных, которые можно украсть и продать, значит это никому не нужно?
Это вопросы, которые основатель и главный редактор Security Ledger Пол Робертс (Paul Roberts) слышит каждый раз, когда компании пытаются объяснить, почему они не рассматривают безопасность интернета вещей (IoT) серьезно. Security Ledger — независимое издание публикующее новости и аналитические статьи в области безопасности, связанные с интернетом вещей.
При наличии миллиардов поддерживающих сетевые функции устройств по всему миру, вопрос безопасности интернета вещей игнорируется многими компаниями, однако в этой области возникают различные угрозы. Причины такого игнорирования отличаются, но они часто заключаются в том, что компания либо не думает, что она уязвима, либо считает, что это слишком дорого. Тем не менее, хакерские атаки на интернет вещей могу нанести ущерб сети целого предприятия, отключить механизмы или, даже хуже, подвергнуть жизни опасности. Угрозы реальны и они везде.
Взлом автомобиля Telsa Model S, который стоит около 100 000 долларов, сегодня стал примером для изучения того, что делать и что не делать в области безопасности интернета вещей – также как и взлом движущегося Jeep Cherokee. Это были демонстрационные действия, но взлом производственной сети компании Steel Planet из Германии таким не был. В отчете об этой атаке, на Hacked.com говорилось:«К счастью, никто не пострадал, но что произойдет если ошибка будет намеренно внесена при производстве автомобиля или деталей самолетов?»
Как отмечает Робертс, компании должны учитывать это «что, если»: «Понятна причина, по которой устанавливают датчики на такой сложный механизм, как автомобиль, реактивный самолет или сельскохозяйственное оборудование. Информация в реальном времени о производительности, использовании изделия, неисправности деталей и нуждах безопасности может играть для компании важную роль. При этом легко подключить все это к интернету с помощью недорогих датчиков, облачных служб и инфраструктур».
Тем не менее, Робертс отмечает, что проблема состоит в том, что возможности интернета вещей опережают развитие безопасности. «Компании забывают о том, что подключая устройство к интернету вещей, они практически предлагают всем доступ к нему, включая и нежелательных людей, — говорит Робертс. — Даже тривиальные уязвимости могут дать взломщику контроль над системой. Пора компаниям проснуться и признать, что угрозы существуют реально, и пора обратить на них серьезное внимание».
С чего же начать? Вот три важные шага, которые Робертс рекомендует компаниям, для безопасности интернета вещей.
1. Признать, что у вашей компании имеются недоброжелатели. Робертс отмечает, что сначала необходимо признать, что компанию собираются атаковать. «Признайте, что найдется хакер, обладающий достаточным опытом и знаниями для атаки вашей системы, — говорит Робертс, — затем, когда вы подумаете, как хакер, вы увидите и устраните риски или уязвимости в области программного обеспечения и информационной безопасности». Например, Робертс рекомендует найти и проверить на уязвимости встроенное программное обеспечение, которое используется на оборудовании.
- Защитить своих клиентов. «Даже если вы продумаете меры безопасности в своих изделиях, они могут не подойти вашим клиентам», — подчеркивает Робертс. Он рекомендует поделиться информацией о том, как изделие может быть использовано и предоставить клиентам рекомендации о том, как они смогут защитить себя. Простой пример: потребовать изменение пароля после настройки, что может устранить около 90% рисков.
- Не забывайте о поставках. Для безопасности поддерживающих интернет вещей устройств важно узнать, кто изготавливает ваше изделие и все его компоненты, что позволит проверить источник и обеспечить целостность. «Компании, которые работают в области обороны разработали зрелый процесс для оценки целостности используемого компонента, — говорит Робертс. — Разработайте стратегию, так чтобы находится внутри вашего сетевого оборудования или механизмов». Робертс добавляет, что решения по цепочке поставок в основном принимались из расчета стоимости, но и самой цепочке следует уделить внимание.Робертс также говорит, что люди не привыкли к тому, что хакеры проникают в такие области, как производство, энергетика и здравоохранение. Но это меняется, а хакеры становятся более изощренными. Например, федеральное ведомство Германии по информационной безопасности отмечает, что лица, атаковавшие сталелитейную фабрику имели знания не только в области стандартной IT-безопасности, но также в областях прикладного управления производством и производственных процессов.«Для интернета вещей необходимо искать компромиссное решение, — заключает Робертс, — и компании не могут просто думать о том, что все это будет работать без каких-либо затрат с их стороны. Интернет вещей и взаимодействующие по сети устройства — это замечательно, но есть и обратная сторона, и, чем скорее компании поймут это, тем лучше».
Изображение Юрий Самойлов с Flickr (CC by 2.0)
Источник: http://www.ptc.com/product-lifecycle-report/iot-security-are-you-ignoring-the-warnings
Перевод подготовлен компанией Ирисофт.
