в Интернет вещей (IoT) означает все те технологии, которые позволяют использовать интеллектуальные объекты, то есть датчики и исполнительные механизмы, которые, подключенные к Интернету, могут быть запрограммированы или использованы удаленно, например, с помощью приложения с мобильного телефона или программы с компьютера операционный центр. Это относится к датчикам, которые, например, обслуживают камеры, с помощью которых наблюдают за домашними животными, когда они находятся вдали от дома, или муниципальную камеру контроля скорости, которая автоматически передает фотографии номеров автомобилей в местную полицию, а не измеритель давления. ядерный реактор, отправляющий тревогу в центр управления; и это, так сказать, случай интеллектуального реле, которое включает систему орошения приусадебного участка, или сервопривода, открывающего двери автоматического метро, или системы управления перепускной задвижкой плотина с видом на горную деревню.
Эти интеллектуальные объекты будут все больше улучшать качество жизни людей, эффективность и рентабельность производственных процессов, безопасность народов. Но это факт, что сегодня они представляют новые риски, вероятность возникновения которых обычно выше, чем соответствующие риски безопасности, которым подвергаются компьютеры, планшеты и смартфоны.
И причина этого проста: в то время как правительства, научные круги, компьютерная и программная индустрия имеют за плечами многие десятилетия исследований и разработок в области кибербезопасности информационных технологий, производители интеллектуальных объектов и разработчики промышленных систем управления - будь то недавно разработанные устройства, а не адаптированные версии традиционных моделей - у них нет опыта работы с обширными знаниями о киберзащите, приобретенными и развитыми в мире информационных технологий..
Кроме того, стремление внедрить недорогой «интеллект», который приводит к использованию систем с уменьшенной вычислительной мощностью и ограниченным потреблением энергии, чтобы избежать использования батарей большой емкости, во многих случаях делает решения, разработанные для серверов, непригодными для использования. ПК и смартфоны, предметы, для которых нет ценового барьера.
В результате сегодня устройства Интернета вещей - в отличие от того, что происходит систематически для цепочками поставок ИТ-устройства и программное обеспечение - как правило, они не производятся с включением необходимых функций кибербезопасности, помогающих снизить связанные риски, а также в целом аналогичные возможности, способные поддержать пользователей на этапе установки и эксплуатации.
И в качестве предрасполагающего фактора риска следует также учитывать, что эти датчики и исполнительные механизмы, которые готовый к интернету, они также часто имеют функциональность подключи и играй, то есть они подключаются к сети и начинают работать без необходимости предварительной установки и настройки, а также по своей природе не имеют функциональных возможностей, типичных для ИТ-мира, по блокировке сеанса после периода бездействия. Недавнее исследование показало, что во время блокировкав тишине закрытых для публики офисов Интернет вещей продолжал работать неконтролируемо, подвергая опасности корпоративные сети и средства.
Этот пробел необходимо устранить как можно скорее, и научный мир вместе с отраслью и контролирующими и регулирующими органами разрабатывает ряд требований и рекомендаций, которые, следуя примеру того, что уже существует в ИТ-секторе, подтолкнуть к рассмотрению конкретных допущений о рисках и стремиться контролировать отдельные области снижения рисков.
В основном необходимо принимать во внимание три допущения риска. Прежде всего, интеллектуальные объекты будут все чаще использоваться для проведения скоординированных атак с ощутимыми эффектами, а также для участия в DDoS-атаках (распределенный отказ в обслуживании: для непрофессионала это атака на сервер, направленная на «затопление», чтобы предотвратить это от предоставления услуги) против других организаций, перехвата сетевого трафика или компрометации других устройств в том же сегменте сети. Событие 21 октября 2016 года применимо как пример ко всем, когда после создания одного из крупнейших Ботнет сформированная IoT, то есть секретная сеть интеллектуальных объектов, тайно контролируемых без ведома их законных владельцев, DDoS-атаки были созданы в службе DNS (система доменных имен: для новичков это немного похоже на телефонную книгу или уличный справочник, который использует Интернет. чтобы связать числовой адрес с именами веб-сайтов или доменов электронной почты). Эта атака помешала пользователям получить доступ к крупнейшим веб-ресурсам США, включая Twitter, Spotify и PayPal.
Две другие оценки касаются того факта, что: устройства IoT, содержащие данные, будут подвергаться атакам ЦРУ (конфиденциальность, целостность, доступность) с целью кражи, компрометации или обеспечения недоступности информации, хранящейся на них или передаваемой для них; и что атаки на Интернет вещей могут быть предприняты для компрометации частной жизни людей.
Отсюда необходимость обеспечения физической защиты устройств, логической безопасности данных и, в случаях обработки персональных данных, защиты права на неприкосновенность частной жизни.
С этой точки зрения производители должны будут обеспечить технологический контроль в пяти областях смягчения последствий, включая: поддержание обновленной и своевременной инвентаризации всех устройств IoT и их соответствующих характеристик (управление активами); выявлять и устранять известные уязвимости в программном обеспечении устройства, например, путем установки исправлений, изменения и настройки параметров (Управление уязвимостями); избегать несанкционированного и неправильного физического и логического доступа (Управление доступом); предотвращать доступ и подделку данных, сохраненных на устройстве или в процессе передачи, которые могут раскрыть конфиденциальную информацию или позволить манипуляции или прерывание операций устройства (защита данных); и, наконец, действия по обнаружению инцидентов, с помощью которых можно отслеживать и анализировать активность устройства IoT, чтобы выделить индикаторы компрометации устройств и данных.
Вопрос очень серьезный и не второстепенный. Настолько, что президент США подписал несколько дней назад «Меморандум о повышении кибербезопасности для систем управления критической инфраструктурой» с которой он запускаетПрезидентская инициатива по кибербезопасности промышленных систем управления (ОТ). И систематически инвестирует все цепочками поставок технологий Интернета вещей: производители и установщики должны будут столкнуться с этим на протяжении всего жизненного цикла технологии, начиная с этапа исследований, разработки и предпродажного производства, с правильными техническими действиями, направленными на обеспечение характеристик и функциональных возможностей кибербезопасности. Также будет необходимо, чтобы они продолжили деятельность по информационной и послепродажной поддержке, чтобы гарантировать конечным пользователям необходимую техническую помощь, в том числе в отношении использования облачных платформ, уже предложенных сегодня цепочками поставок ИТ для шифрования связи между интеллектуальными объектами.
Наконец, не следует упускать из виду, что все это неизбежно приведет к увеличению как производственных затрат, так и ресурсов, необходимых для обеспечения работы, технического обслуживания и качества обслуживания: эти повторяющиеся расходы могут сделать устройства IoT более непривлекательными во многих контекстах.
Орацио Данило Руссо, Джорджио Джачинто, Алессандро Руголо
Для получения дополнительной информации:
https://blog.osservatori.net/it_it/iot-sicurezza-privacy
https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf
https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices
