Інтернет речей (IoT) – виклики нової реальності

В основі концепції IoT лежить повсюдне поширення інтернету, мобільних технологій та соціальних медіа, при цьому сама ідея підтримується нашим прагненням зробити світ зручніше, простіше, ефективніше і безпечніше в самому широкому сенсі.



Виробники споживчих пристроїв та промислового обладнання, автовиробники і сервісні компанії, розробники ПЗ та мережного обладнання – всі вони працюють над створенням величезної екосистеми IoT, в якій представлено безліч розумних, підключених до мережі пристроїв. Виробників з різних галузей залучає потенціал IoT і можливість задовольнити потреби споживачів.

Скорочення витрат
Наприклад, компанія General Electric використовує Інтернет речей для профілактичного обслуговування реактивних двигунів та для прогнозування потенційних несправностей ще до того, як вони виявили себе в повну силу. Крім того, відстежуються польотні дані дозволяють мінімізувати витрати на паливо і підвищити ефективність.

ThyssenKrupp Elevator обслуговує понад 1,2 мільйонів ліфтів по всьому світу.
Можливість профілактичного, попереджувального техобслуговування, реалізована завдяки впровадженню IoT технологій від Microsoft, гарантує високу час напрацювання на відмову, і компанія вже відзначила зниження кількості звернень в службу техпідтримки.

Нові джерела доходу
Можливість створення додаткових джерел доходу за рахунок продажу послуг з доданою вартістю (VAS) та використання інноваційних бізнес-моделей, таких як (Product-as-a-Service, PaaS). Практикуються компанією Rolls Royce контракти на погодинній основі (Power-by-the-Hour), дозволяють операторам купувати двигуни з оплатою фіксованої суми за годину польоту, а не з передоплатою за весь двигун відразу.

Зниження кількості судових розглядів і скорочення відповідних витрат, пов'язаних з витоками даних
Згідно з дослідженням, проведеним IBM спільно з інститутом Ponemon, в середньому витік даних обходиться компаніям в 3,79 млн. доларів. Зміцнення безпеки дозволяє знизити такі ризики.

Нові можливості для створення партнерських відносин
Інтернет речей відкриває нові ринки і забезпечує нові можливості для створення партнерських відносин. Наприклад, Google працює над створенням програмного забезпечення, яке допоможе автовиробникам розробляти безпілотні автомобілі.

Поліпшення взаємин із замовниками
Особливо це важливо для тих виробників, які не підтримують зв'язки з користувачами після продажу пристрою. Наприклад, Intel додав інтелектуальну систему для торгових автоматів, завдяки чому виробники зможуть здійснювати продаж пакетних програм типу 2 в 1, надавати знижки і реалізовувати програми підтримки лояльності для підвищення продажів.

Забезпечення безперервності бізнесу
З урахуванням кількості залучених в екосистему гравців (OEM-виробники, постачальники послуг зв'язку, постачальники хмарних послуг, незалежні розробники програмних продуктів тощо), вкрай важливо, щоб всі елементи в екосистемі були захищені, щоб виключити можливість збоїв. Надійний захист забезпечує бізнесу переваги за рахунок безперервності процесів взаємодії з замовниками.

В оточенні розумних речей
Від крихітних датчиків до величезних машин, Інтернет речей (IoT) та індустріальний Інтернет речей (M2M – machine-to-machine) розширюються на величезній швидкості. Так в Intel вважають, що 10 років тому було лише 2 мільярди смарт-об'єктів, пов'язаних з бездротовим світом, а IDC оцінили кількість підключених пристроїв до 2020 року вже в 200 мільярдів.

До чого ж варто приготуватися споживачам і виробникам у зв'язку з таким драматичним розширенням мережі підключених пристроїв?



Практично будь-який підключений пристрій, починаючи зі смарт-телевізора, фітнес-трекера або системи домашньої безпеки і закінчуючи принтерами, автомобільними системами або лампочками з управлінням по мережі, рано або пізно піддавалося злому. Нижче ми наведемо кілька наочних прикладів таких зломів:

Більше 8000 чоловік стали жертвами хакерської атаки, коли хакери з групи Anonymous вторглися в інфраструктуру європейського космічного агентства і викрали імена, адреси електронної пошти і паролі людей, які потім були опубліковані у вигляді трьох дампів даних на сервісі justpaste.it

Компанія Symantec використовує особливим чином налаштовані комп'ютери Rasberry Pi, щоб привернути увагу до лежачим на поверхні вразливостей в фітнес-трекерах. Експерти з безпеки виявили, що деякі з цих пристроїв дозволяють зловмисникам з легкістю стежити за місцем розташування трекерів.

Експерти з безпеки з компанії Proofpoint виявили, що в святковий період 2014 року підключений до Інтернету, холодильник використовувався для відправки більш 75000 спам-повідомлень і фишинговх листів.

Хакер і експерт в питаннях кібербезпеки Кріс Робертс (Chris Roberts) з фірми One World Labs в Денвері, США, зумів зламати бортову розважальну систему в літаку і, згідно з ордером ФБР від квітня 2015 року, перехопити керування літаком.

Передова система сигналізації на залізничному транспорті, призначена для управління рухом всіх поїздів у Великобританії, також може бути піддана злому, що потенційно може призвести до серйозних наслідків – про це професор Девід Стаплс (David Stupples) повідомив службі BBC. Компанія Network Rail, яка проводить випробування європейської системи управління залізничним транспортом, підтвердила наявність потенційної загрози.

Stuxnet – перший комп'ютерний черв'як, який здатний перехоплювати і модифікувати потік даних між програмованими логічними контролерами марки SIMATIC S7 і робочими станціями SCADA-системи фірми Siemens SIMATIC WinCC. У червні 2010 року вірусу Stuxnet вдалося проникнути в комп'ютери іранської атомної станції в Бушері, Іран в результаті чого загальна кількість уражених комп'ютерів хробаком склало 60% від усіх інфікованих систем в країні. Пізніше стало відомо, що вірус був розроблений спільно розвідувальними службами США та Ізраїлю. Їм була успішно заражена комп'ютерна система ядерної програми Ірану (Хіларі Клінтон підтвердила).

Все більше автомобілів сьогодні отримують доступ в мережу, але що, якщо автомобіль стане об'єктом хакерської атаки Журналіст Wired Енді Грінберг (Andy Greenberg) з'ясував це на власному досвіді, коли управління його автомобілем – Jeep Cherokee – було перехоплено на швидкості 110 км/год на шосе в Сент-Луїсі.

Ті ж дослідники в галузі безпеки стверджують, що сьогодні близько 471 тисячі автомобілів можна зламати практично з будь-якої точки світу – для цього зловмисникові потрібно тільки знати IP адреса атакується автомобіля.



Захищені інтерфейси
У разі Інтернету речей одним з основних елементів, якому необхідно приділяти максимум уваги стає сама річ або об'єкт. Будь то автомобіль, розумний лічильник або трекер здоров'я – всі вони несподівано стають залучені в мережеву взаємодію, при цьому деякі з IoT пристроїв можуть обслуговувати критично важливу інфраструктуру – водопроводи, енергомережі, систему охорони здоров'я або транспорту, що робить їх потенційною мішенню для промислового шпигунства, DoS-атак (Denial of service, відмова в обслуговуванні) та інших хакерських атак. Для запобігання шкоди механізми безпеки необхідно передбачити ще на етапі проектування, щоб можна було керувати переданої інформації в русі і контролювати, хто саме отримує доступ до неї.

В якості прикладу можна навести випадок злому радіо-няні Foscam, інформація про який була опублікована в 2015 році. Об'єктом атаки хакерів стала сім'я, пользовавшаяся бездротовий IP відео-нянею Foscam, при цьому хакер отримав контроль над камерою і стежив за переміщеннями по кімнаті, в якій вона була встановлена. Ще більшу небезпеку може представляти отримання зловмисниками доступу до промисловим і корпоративним системам, як це вже було продемонстровано у ряді випадків.

  • Різноманіття видів підключень. Існує дуже багато способів підключення, найбільш поширеними з яких на сьогоднішній день є мобільні стільникові мережі, Bluetooth і WiFi, але з розширенням сценаріїв використання більш часто можуть зустрічатися і порівняно нові мережеві технології, такі як LoRa, UNB, PLC, BTLe малого радіусу дії, Weightless, LTE-M і ZigBee. Кожна нова мережева технологія разом з можливостями несе з собою і нові загрози.
  • Різноманіття галузей. З урахуванням повсюдного поширення Інтернету речей – від великомасштабних промислових систем, таких як парки вітрогенераторів, до переносних пристроїв – скрізь існує своя власна екосистема. Моделі безпеки можуть відрізнятися, але у них є як мінімум одна загальна риса: у всіх цих випадках мова йде про збір величезних масивів даних. І чим більш складна ця інформація, тим більше вона чутлива до злому.


Мобільний загроза
Враховуючи величезні обсяги інформації, що генеруються підключеними пристроями, пріоритети повинні зміщуватися в бік захисту тих даних, які дійсно важливі. Перший крок у створенні інфраструктури безпеки полягає в дослідженні видів зустрічаються загроз. Крім фішингу, DoS і DDoS атак і фізичного вторгнення в еру гаджетів отримав широке поширення злом додатків. Сьогодні на ринку представлені спеціальні автоматизовані інструменти для злому, багато з яких розповсюджуються безкоштовно. Справа в тому, що на відміну від централізованих веб-оточень, мобільні програми існують в рамках ніяк не регулюється екосистеми мобільного пристрою. Незахищений програмний код мобільних додатків (той самий, який ви завантажуєте, коли встановлюєте програму, наприклад, з магазину AppStore або Google Play.) дозволяє зловмисникам легко і невимушено модифікувати ці програми та використовувати їх у своїх інтересах.

В результаті подібних атак дев'ять з десяти організацій (90%) мали негативні наслідки для своєї комерційної діяльності, у тому числі затримки з розвитком продуктів або сервісів (31%), зниження продуктивності своїх співробітників (30%), зниження споживчої впевненості (28%) і певний тиск (24%). Все це вказує на досить значні негативні наслідки витоків даних, які негативним чином позначаються як на корпоративної репутації, так і на загальні результати діяльності компаній, а також на впевненості їх замовників у даній галузі.

Необхідність подвійної дії: конфіденційність vs аутентифікація
Перший важливий крок у забезпеченні безпеки пристрою полягає в тому, щоб гарантувати, що ви дійсно є тим, за кого себе видає, і справді має право для доступу до цього пристрою. Процедура аутентифікація є важливим аспектом при роботі з підключеними пристроями. Наприклад, коли ми відкриваємо свій розумний автомобіль за допомогою мобільного телефону, ми хочемо бути впевнені, що ніхто крім нас не зможе цього зробити.

Але насправді автомобілі далеко не завжди володіють хорошою захистом, як можна подумати! Австралійський дослідник в галузі безпеки Сільвіо Сезаре (Silvio Cesare) продемонструвала уразливість в пристрої електронного замка автомобіля, в результаті якої він зумів вимкнути сигналізацію і проникнути в автомобіль, не залишивши після себе жодних доказів для поліції. При цьому для отримання доступу до автомобіля він використовував найпростішу програмно-визначається радіосистему (software defined radio) і антену, за допомогою яких він міг перехоплювати і відправляти бездротові сигнали.

Постачальники обладнання також повинні бути авторизовані для доступу до віддаленого пристрою. Виробник електромобіля Tesla сповіщає водіїв про доступність оновлення прошивки і про те, коли це оновлення буде завантажено. Таким чином, водій розуміє, що оновлення було отримано безпосередньо від Tesla, і що це не спроба зловмисника проникнути в систему. Для більш надійної аутентифікації все частіше використовуються біометричні дані, наприклад, відбитки пальців або сканування сітківки, які дозволяють достовірно підтвердити, що ми є саме тими, за кого себе видаємо.



Принципи захисту Інтернету речей
Аналіз ситуації показує необхідність використання комплексного і науково-обґрунтованого підходу до забезпечення безпеки Інтернету речей:

Оцінка ризиків – для розробника важливо розуміти всі потенційні уразливості. Методологія оцінки повинна охоплювати питання забезпечення конфіденційності, безпеки, запобігання шахрайських дій, кібератак та крадіжки інтелектуальної власності. Оцінка ризиків аж ніяк не є простим завданням, оскільки вони перебувають у постійному пошуку і поступово освоюють все нові і нові види загроз. І оскільки універсального рішення для нейтралізації цих загроз не існує, на цьому етапі рекомендується запросити для консультацій експерта в галузі безпеки.

Забезпечення безпеки на етапі проектування – ключовий момент полягає в тому, що безпека пристрою повинна враховуватися на етапі проектування. Сюди відноситься безпека в кінцевих точках і профілактичні заходи, в тому числі створення захищеного до злому апаратного та програмного забезпечення.

Забезпечення безпеки даних – сувора аутентифікації, шифрування і безпечне управління ключами шифрування повинні використовуватися для захисту інформації, що зберігається на пристрої, так і в момент її передачі.

Управління життєвим циклом – забезпечення безпеки не слід розглядати як відокремлений процес, який досить виконати один раз і забути про нього. Вкрай важливо, щоб пристрої, що використовуються в екосистемі Інтернету речей, були захищені протягом всього їх життєвого циклу, не важливо, чи йдеться про самостійний продукт, або про якусь систему, наприклад, інтегрованої в автомобіль.

Переваги повністю підключеного світу
З часом споживачі будуть сприймати зручності Інтернету речей як належне, і будуть повністю впевнені в його безпеці. Крім того, будуть реалізовані й інші переваги Інтернету речей: збільшення ефективності в різних галузях, зниження витрат для галузі охорони здоров'я, впровадження енергозберігаючих технологій в містах. Проте питання безпеки залишається ключовим. Його рішення – в руках професіоналів.



Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.