На Mobile World Congress-2017 в конце февраля в Барселоне "Лаборатория Касперского" при участии футуролога Яна Пирсона нарисовала счастливое цифровое будущее человечества. Правда, с оговоркой: все будет хорошо, если мы научимся противостоять новым угрозам, которые несет повсеместная цифровизация. Мы уже справились с BYOD и мобильностью. Следующую волну проблем для безопасников несет интернет вещей.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Интернет вещей, как потребительский, так и промышленный, уже пришел в нашу жизнь. Даже скорее ворвался через все эти китайские noname-чайники с Wi-Fi, не очень "умные", но подключенные к интернету розетки, браслеты, видеокамеры, весы и все что угодно.
Аналитики IDC сообщают, что в России эти технологии активно осваивают три отрасли: производство, транспорт и энергетика. На них приходится половина от общего объема рынка IoT. На четвертом месте идет госсектор, который в основном вкладывается в развитие "умных" городов.
Самый многообещающий и быстрорастущий сегмент в РФ на рынке IoT — страхование, где уровень инвестиций, по мнению IDC, будет увеличиваться в два раза быстрее, чем на других направлениях. Также будут набирать объем кросс-отраслевые решения, которые могут использоваться в разных сферах по похожим сценариям.
По подсчетам AC&M Consulting, в стране на конец прошлого года уже функционировало 10 млн IoT-устройств. В сфере ЖКХ, по данным iKS-Consulting, в России в 2016 году работал 1,1 млн подключенных объектов, а через три года их будет уже 5,2 млн. Решения для IoT разрабатывают телеком-компании вместе с вендорами. В марте "МегаФон" с Huaewei объявили о выпуске решения для этой сферы на основе стандарта NB-IoT, который позволяет подключенным устройствам работать до десяти лет без замены. МТС уже предлагает специальный тариф для IoT "Умное устройство" с оплатой сразу за год. Этот оператор лидирует на рынке интернета вещей с долей 40%, по данным AC&M Consulting. На втором месте идет "МегаФон" (35%), за ним следует "Вымпелком (19%).
Безответственность производителей
В целом понятно, зачем эти подключенные устройства могут понадобиться потребителям. Также очевидно, что это источник доходов для операторов. Для бизнеса IoT и его промышленная модификация IIoT нужны по двум причинам: чтобы собирать данные, которые могут оказать важнейшее влияние на деятельность компании, а также чтобы противостоять различным видам мошенничества.
Но первое порождает новые угрозы, что, возможно, нивелирует пользу второго. Согласно прогнозам Gartner, в будущем бизнес станет все больше склоняться к дата-центричной модели информационной безопасности. Как говорят аналитики этой компании, экспоненциальный рост объемов данных, сбор их из множества разных источников, обработка и хранение требуют пересмотра существующих моделей защиты данных и архитектуры систем информационной безопасности. По их мнению, к 2020 году 40% инструментов, которыми пользуются крупные предприятия для информационной защиты данных, окажутся заменены средствами дата-центричного аудита и защиты. Сейчас их доля меньше 5%. Специфика этих решений состоит в том, что они позволяют централизованно управлять пользователями и администраторами и наблюдать, как они используют те или иные наборы данных.
Но это далеко не все, что требуется изменить в подходах и инструментах ИБ в связи с распространением IoT/IIoT. Прошлый год в сфере информационной безопасности стал годом Mirai — ботнета, собранного из нескольких сотен тысяч взломанных подключенных устройств. Простенькая программа с помощью перебора шести десятков стандартных паролей пачками превращала веб-камеры, роутеры и другие устройства в IoT-зомби. Mirai устроила самую крупную DDoS-атаку в истории интернета: на жертву обрушивался терабит мусорных данных каждую секунду.
Откуда взялись устройства в этом ботнете? Ну, например, команда безопасности Android недавно отчиталась о том, что "всего" 0,05% устройств с этой системой содержали в прошлом году потенциально опасные приложения (приложения с бэкдорами, трояны и прочие). Это значит, что 700 тыс. девайсов из 1,4 млрд существующих в мире, заведомо находятся под угрозой. Если учесть, что обновления системы защиты установили в прошлом году лишь на 735 млн устройств с этой ОС, ситуация выглядит совсем удручающе.
А ведь так обстоят дела с активно используемыми устройствами. Страшно представить, сколько паразитных программ может внедриться в IoT-объекты, к которым годами никто не подходит, например счетчики воды или термостаты. Одна из главных угроз со стороны интернета вещей, по словам Дмитрия Огородникова, директора центра компетенций по информационной безопасности компании "Техносерв",— именно DDoS-атаки и общий объем паразитного трафика.
Андрей Никишин, руководитель отдела развития технологических проектов "Лаборатории Касперского", добавляет: "Мы полагаем, что Mirai — это вершина айсберга атак и заражений подобных устройств. К сожалению, разработчики IoT-устройств не уделяют должного внимания вопросам кибербезопасности. Подобные устройства крайне редко обновляются и остаются уязвимыми месяцы и годы".
Александр Лямин, глава Qrator Labs, рисует печальную картину: "Интернет вещей не готов для инфраструктуры интернета. Можно сравнить интернет с автомагистралью highway. Что будет, если на эту скоростную трассу выпустят автомобиль, не отвечающий стандартам безопасности? Более того, у этого автомобиля порой не работают тормоза и производитель не заботится о его техподдержке. Это небезопасно как для водителя, так и для всех окружающих. Интернет вещей — это целая армада подобных автомобилей, заполонивших более или менее работающий интернет. Никто не рассчитывал на движение таких некачественных "развалюх"".
Алексей Качалин, заместитель директора по развитию бизнеса в России компании Positive Technologies, добавляет, что для злоумышленников могут также представлять интерес устройства, которые можно заблокировать. Уже случались инциденты с "локерами" "умных" кондиционеров и телевизоров. Большой интерес у злоумышленников вызывают и автономные дроны. Манипулируя ими, можно получить данные, перехватить управление, похитить дорогостоящее устройства, а иногда (в случае с военными дронами) — получить доступ к боевому вооружению.
Маршрут построен
По мнению ряда экспертов, инфраструктура интернета в той или иной степени готова принять трафик IoT/IIoT. Андрей Никишин говорит: "Я не вижу больших проблем с точки зрения пропускной способности каналов. Сейчас продвигается парадигма, при которой большая часть вычислений будет проводиться или на уровне самих "вещей" или на уровне локальных хабов и в облако будут передаваться проценты от информации, которая генерируется подключенными вещами. Также многие компании разворачивают приватные облака для работы с IoT-устройствами".
Но и здесь не все так хорошо. Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании "Инфосистемы Джет", предупреждает: "Рост объемов подключенных к интернету устройств вновь поднимает вопрос о необходимости перехода с адресации IPv4 на IPv6. Хотя протокол IPv6 по архитектуре намного безопаснее IPv4, уверен, в бурное время перехода на новые технологии возникнет огромное число специфических угроз ИБ".
Дмитрий Огородников напоминает о том, что существует и другая проблема — отсутствие общих стандартов, протоколов, архитектур этих инфраструктур и их взаимодействия. "Основные принципы построения интернета вещей только начинают разрабатываться, многое находится на уровне определений и рекомендаций — вы должны об этом подумать сами. Вместе с тем подключение сенсоров и особенно исполнительных механизмов (Actuator) несет в себе новые риски некорректного управления объектами технологических процессов или жизнеобеспечения. Большинство известных атак на объекты АСУ ТП были направлены на контроллеры PLC и изменение режима работы этих устройств. Эти контроллеры не подключаются напрямую к интернету, поэтому атакующие были вынуждены воздействовать на управляющие системы для последующего контроля конечных устройств PLC. Но интернет вещей создается по принципу "все, что может подключаться, должно быть подключено". При такой концепции и без единых стандартов риски возрастают многократно".
Эксперт уверен, что практически ни одна отрасль не готова к IoT, за исключением кредитно-финансовых организаций. "Посудите сами: топливно-энергетический сектор и промышленные предприятия только начинают всерьез думать о безопасности АСУ ТП (крупных внедрений систем безопасности и референсов пока в России нет), а мы им предлагаем новые, не слишком стандартизированные и еще менее безопасные технологии,— рассуждает Дмитрий Огородников. — В проектах безопасных городов или интеллектуальных городов из-за отсутствия стандартизации сейчас невозможно объединить в систему тысячу разных устройств от разных производителей. Именно поэтому, кстати, сейчас большой спрос на интеграцию в мире интернета вещей и разработку специализированного программного обеспечения. А телекоммуникационным операторам это не очень нужно, точнее, они реализуют первое из двух слов в интернете вещей".
Конечно, угрозы возникают, только когда устройства напрямую подключены к интернету. При этом они могут связываться с глобальной сетью по разным технологиям. Андрей Пярин из департамента по работе с ключевыми клиентами компании Huawei в России, говорит, что уровень зрелости разных типов доступа и технологий неодинаков, и это стоит учитывать. По его словам, технологии фиксированного доступа достаточно зрелые. В мобильном доступе есть условно два типа технологий: работающие в лицензируемом диапазоне и в нелицензируемом, или открытом: "У каждой технологии есть свои плюсы и минусы, пожалуй, единственными плюсами нелицензируемых технологий являются простота развертывания и отсутствие платы за лицензии. С другой стороны, лицензируемые технологии уже есть, и их покрытие практически повсеместно. Именно поэтому телеком-вендоры сосредоточились на разработке стандартов связи для IoT в лицензируемых технологиях (GSM и LTE). И вот как раз эти технологии сегодня только развиваются в мире и в России".
Андрей Пярин также считает, что Россия с точки зрения инфраструктуры готова к IoT/IIoT, несмотря на то что по результатам исследования Huawei`s Global Connectivity Index, измеряющего прогресс 50 крупных государств на пути цифровой трансформации, страна находится на 43-м месте.
Алексей Шипулин, старший вице-президент по развитию телематики Meta System, все же уверен, что промышленный интернет вещей требует качественной модернизации сетей, потому что предполагает на порядок большее число подключений и низкие скорости передачи данных, которые зачастую передаются только в одну сторону. "Параллельно с существующими сетями передачи данных, где должна расти пропускная способность, нужно развивать инфраструктуру для поддержки интернета вещей, которые будут связывать частотные диапазоны",— говорит он.
Впрочем, некоторые эксперты считают, что рынок IoT еще не так развит, чтобы стоило опасаться за его безопасность. Дмитрий Бирюков, директор направления информационной безопасности группы "Астерос", замечает, что сейчас с помощью IoT-технологий бизнес решает узкий круг вопросов, связанных, например, c удаленной передачей данных от технологического оборудования, мониторингом местоположения транспорта и т. д. Для полноценного внедрения IoT в деятельность большинства компаний требуется наличие специальных технических компетенций, которые у большинства российских предприятий пока находятся на стадии формирования. "Для проникновения интернета вещей в промышленный сегмент потребуется еще несколько лет. Думаю, что к началу бурного роста промышленного IoT информационно-коммуникационная инфраструктура страны будет способна выдержать нарастающие нагрузки",— говорит представитель "Астерос".
Закон и порядок
Эксперты называют IoT/IIoT ключом цифровой трансформации и двигателем четвертой промышленной революции. Но чтобы этот двигатель не стал тормозом и не превратил пока еще работающий интернет в бесполезный клубок проводов, необходимо серьезно менять подходы к информационной безопасности. IoT-атаки выводят из строя не отдельные интернет-ресурсы, а сегменты интернета, иногда даже сети операторов связи целиком. Противостоять этим новым угрозам можно будет только сообща, причем сотрудничая на международном уровне.
Дмитрий Огородников прогнозирует, что к концу 2020 года необходимость ликвидировать уязвимости в IoT приведет к росту расходов на обеспечение их безопасности до 20% от годового бюджета на безопасность против менее 1% в 2015 году. "И в этом нет ничего удивительного,— утверждает эксперт.— Требования современного бизнеса в первую очередь предъявляются к "красивой обертке" и скорости вывода продукта на рынок. При таком подходе очень часто страдают производительность и надежность новых продуктов, а про безопасность, как правило, просто забывают, реализуя какие-то базовые механизмы, либо сознательно оставляют ее на потом. При этом "масла в огонь" добавляют зачастую отсутствующие процессы безопасной разработки программного обеспечения".
Господин Качалин считает, что проблемы безопасности интернета вещей могут потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции.
Среди мер противодействия Алексей Качалин отмечает разработку рекомендаций The Industrial Internet Security Framework. "Документ, подготовленный экспертами крупных ИТ- и ИБ-компаний, интересен тем, что связывает ICS (Integrated Computer Solutions — интегрированные компьютерные решения) и IoT общими практиками безопасности. Однако это лишь рекомендации, не факт, что производители IoT-устройств будут их применять",— говорит он.
Андрей Пярин также настаивает на необходимости законодательных инициатив. По его словам, Россия делает первые шаги в области регулирования IoT: создана рабочая группа, правительством согласована "дорожная карта", содержащая более 30 инициатив. В мире активно прорабатываются вопросы регулирования обмена информацией, содержащей персональные данные, недопустимости их хранения за рубежом и т. д. "Пока эти законы не учитывают развития и внедрения IoT, так как на данный момент интернет вещей — это фрагментированная среда патентованных решений, единственный общий стандарт которой — это интернет как способ доставки информации. Очевидно, основная проблема внедрения инициатив IoT — это отсутствие комплексного подхода. Одной из первых инициатив "дорожной карты" будет развитие городского хозяйства и формирование рейтинга "умных" городов. Особое внимание тут необходимо уделять координации и тесному взаимодействию бизнеса и государства",— считает Андрей Пярин.
По словам Дмитрия Огородникова, для решения проблем IoT и противодействия новым угрозам необходимо развивать нормативную базу и использовать специализированные технические средства. Он напоминает, что в 2013 году был разработан проект федерального закона "О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации", который внесен на рассмотрение в Государственную думу 5 декабря 2016 года. "Принятие этого закона снимет все вопросы у владельцев КИИ, как и в каком порядке им защищать свои инфраструктуры. Конечно, выполнение требований данного закона не решит всех проблем, но, во всяком случае, все КИИ будут включать в себя примерно одинаковые элементы и процессы в части обеспечения безопасности",— говорит он. В качестве технического средства Дмитрий Огородников рекомендует специализированную операционную систему "Лаборатории Касперского".
Андрей Никишин объясняет, что для защиты подключенных вещей, хабов старые методы непригодны: "Мы считаем, что только использование правильной и безопасной операционной системы, которая не допустит того, чтобы эксплуатировались уязвимости, исполнялся сторонний код, устанавливались закладки в код и оборудование, позволит создать безопасную экосистему интернета вещей. Облачная же часть интернета вещей отлично может быть защищена апробированными решениями, которые используются уже сейчас".
Дмитрий Бирюков говорит, что многие решения по защите компонентов IoT уже используются — вопрос в их эффективном встраивании в будущую инфраструктуру промышленного интернета вещей. Пилотные проекты, в которых отрабатываются комплексные интегрированные подходы к защите и оркестровка применяемых решений, станут ключевым фактором развития этих технологий. Но до этого многим российским компаниям еще очень далеко. "Обеспечение защиты информации в IoT является комплексной задачей, включающей в себя организационную и техническую составляющие, которые требуют наличия программы по разработке и внедрению системы защиты IoT-сервисов в деятельность предприятия. Все это требует от организации определенных управленческих усилий, финансовых и временных затрат. Между тем еще не во всех российских компаниях обеспечен даже минимальный уровень информационной безопасности, защищающий от основных киберугроз",— напоминает представитель "Астерос".