«Интернет вещей» очень перспективен и очень небезопасен

| статьи | печать

О том, сколь перспективны технологии, связанные с «интернетом вещей» (IoT), эксперты PwC рассказали в одном из недавних своих исследований. Но теперь в рамках глобального исследования PwC тенденций информационной безопасности на 2017 г. они озаботились вопросами безопасности использования данных технологий.

Очевидно, что технологии IoT станут крупнейшей сенсацией этого десятилетия, говорится в исследовании PwC. Авторы большинства прогнозов сходятся во мнении, что взаимосвязанные функции платформы будут генерировать экспансивный экономический рост путем преобразования бизнес-моделей и выпуска инновационных продуктов и услуг, которые облегчат и сделают безопаснее жизнь потребителей.

Потенциальные преимущества практически не ограничены. В мире цифровых технологий IoT позволит компаниям повысить эффективность операций, переосмыслить отношения с пользователями и создать совершенно новые потоки доходов. Объединение цифровых систем обеспечит беспрецедентный рост уровня жизни, повысит эффективность медицинского обслуживания и создаст новые возможности управления домами и автомобилями. Органы государственной и муниципальной власти будут использовать технологии IoT для создания «умных городов», в интернет-инфраструктуре которых (включающей уличное освещение, мониторинг дорожного движения, «умные» здания и т. д.) будут использоваться данные для улучшения качества жизни и экономии денежных средств граждан.

Сегодня эти структурные преобразования осуществляют переворот в деятельности предприятий практически во всех отраслях, зачастую сопровождаясь большой медийностью и завышенными ожиданиями потребителей.

Но вообще-то авторы исследования начинают повествование не с напоминания о радужных перспективах «интернета вещей», а со «страшной» заметки в «Нью-Йорк Таймс» от 21 октября 2016 г.: «До недавнего времени разговоры о применении вредоносного программного обеспечения, воздействующего на „интернет вещей“ (IoT), рассматривали по большей части в теоретическом ключе. Ситуация в одночасье изменилась прошлой осенью, когда одним ничем не примечательным утром на серверы американского DNS-провайдера, компании Dyn, была проведена массированная распределенная DDoS-атака (атака типа „отказ в обслуживании“).

Сотни тысяч взломанных хакерами устройств IoT, включая камеры наблюдения, веб-камеры и маршрутизаторы, провели консолидированную DDoS-атаку на головной офис Dyn, в кратчайший срок выведя из строя крупнейшие сайты».

Уже к полудню того же дня понятие безопасности в киберпространстве в контексте IoT перешло из категории эзотерики в главную новость мира информационной безопасности. Неожиданно безопасность и конфиденциальность IoT стали новым приоритетным направлением деятельности, говорится в исследовании PwC.

Его авторы полагают, что риски подобных взломов в будущем, вероятно, вырастут, ведь количество подключенных к интернету устройств растет с угрожающей скоростью. Согласно прогнозам Gartner Inc., в 2017 г. во всем мире будет использоваться 8,4 млрд подключенных к интернету объектов, что на 31% выше, чем в 2016 г. К 2020 г. их количество достигнет 20,4 млрд.

Приблизительно четверть опрошенных в рамках глобального исследования тенденций информационной безопасности за 2017 г. подтвердили взлом компонентов IoT, используемых при автоматизации технологических процессов (ТП), в интеграционных системах, а также в пользовательских (в том числе бытовых) устройствах (в товарах индивидуального потребления).

По мере того как IoT проникает все ближе к ядру цифрового бизнеса, интеграция отраслей безопасности — ИТ, ТП и пользовательских технологий — скорее всего, полагают аналитики PwC, спровоцирует возникновение принципиально новых факторов риска.

К этим потенциальным рискам относятся: нарушения в информационном потоке между подключенными устройствами, физическое вмешательство в оборудование, влияние на деловые операции, кража конфиденциальной информации, компрометация персональных данных, повреждение особо важных объектов инфраструктуры и даже потеря человеческих жизней.

Тем не менее, отмечают авторы исследования, лишь в малом числе компаний реализована комплексная программа обеспечения кибербезопасности IoT, что в значительной степени обусловлено медленными темпами подготовки стандартов и основополагающего законодательства в отношении платформы. Вместе с тем видны первые подвижки в этом направлении: недавно Министерством национальной безопасности и Министерством торговли США были изданы основополагающие информационные документы с рекомендациями для IoT.

Помимо аспектов безопасности, реализация IoT сопровождается множеством вопросов конфиденциальности, в частности связанных со сбором, хранением и использованием потоков данных, получаемых с помощью IoT-устройств. Если при сборе и использовании данных IoT задействуется личная информация либо собранная информация может использоваться для подробного описания деятельности физического лица, компаниям следует рассматривать риски конфиденциальности, связанные с обработкой данных. Поскольку обеспечение безопасности и конфиденциальности в рамках технологии IoT является зарождающимся направлением, у большинства компаний не хватает опыта и ресурсов для самостоятельной разработки, развертывания и использования соответствующих программ.

Но ряд организаций уже сегодня делают первые шаги в областях обеспечения безопасности и конфиденциальности.

В этом году 35% опрошенных в рамках исследования заявили, что имеют действующую стратегию безопасности IoT, а еще 28% отметили, что находятся в процессе внедрения таковой. Кроме того, 46% опрошенных сообщили, что будут инвестировать в безопасность «интернета вещей» в течение следующих 12 месяцев.

В их планах финансирование таких инициатив, как разработка новой политики управления данными, межсетевое взаимодействие и выявление уязвимостей устройств и систем, обучение сотрудников и разработка единых стандартов и политики обеспечения безопасности в киберпространстве.

В дополнение к этим программам компаниям потребуется разработать процедуры для обеспечения безопасности и конфиденциальности в киберпространстве, применимых с первого этапа разработки новых устройств и программного обеспечения.

К российской аудитории руководитель направления по развитию технологий, руководитель отдела анализа и контроля рисков PwC в России Тим Клау обратился со следующим напутствием: «По данным исследования PwC „Digital IQ“ за 2017 г., 65% российских компаний активно инвестируют средства в развитие технологий, связанных с „интернетом вещей“. Так, 41% компаний считает, что в ближайшие пять лет технологии IoT приведут к коренным изменениям в текущих бизнес-моделях. Кроме того, по мнению респондентов, именно „интернет вещей“, как никакая другая технология, способен обеспечить революционную трансформацию рынка в России. Внедрение технологий IoT позволит российским компаниям сократить издержки, трансформировать бизнес-модели и обеспечить рост выручки.

Однако появление новых технологий также сопряжено с возникновением новых рисков, которые компании должны минимизировать и которыми в дальнейшем необходимо будет управлять, — это поможет раскрыть компаниям весь свой технологический потенциал.

Ключевыми рисками для технологий „интернета вещей“, в частности, являются киберриски и утечка персональных данных, при этом нужно учитывать, что по мере стремительного распространения подключенных устройств эти риски будут расти в геометрической прогрессии. По некоторым данным, в 2015 г. в России насчитывалось 15,5 млн подключенных устройств; к 2018 г., согласно прогнозам, их количество удвоится. В среднесрочной же перспективе ожидается рост до 400 млн таких устройств. Иными словами, 400 млн цифровых устройств могут стать мишенью для киберпреступников, желающих получить доступ к жизненно важным системам и (или) персональным данным, либо могут стать инструментом для проведения DDoS-атак. Поэтому, по мере того как российские компании планируют применение IoT-технологий, они должны заблаговременно продумать стратегию обеспечения безопасности и защиты данных, а также предусмотреть создание надлежащей инфраструктуры.

Наличие комплексного подхода к обеспечению кибербезопасности и защиты данных является залогом успешного применения стремительно развивающихся технологий „интернета вещей“. Компании, которые будут развивать IoT-системы и продукты в соответствии с новыми стандартами кибербезопасности и защиты данных, смогут минимизировать риски, заручиться доверием заинтересованных сторон и, в конечном счете, занять лидирующие позиции в области применения технологий IoT».

Внедрение политик, технологий и навыков работы с IoT в течение следующих 12 месяцев, % респондентов

Политики, технологии, навыки

В России

В мире

Новые политики сбора, хранения и уничтожения данных

35

37

Оценка межсетевого взаимодействия и выявления уязвимости систем и устройств по всей экосистеме организации

34

35

Обучение сотрудников методам обеспечения безопасности IoT

42

35

Политики и технологии защиты прав потребителей на неприкосновенность частной жизни

36

34

Единые стандарты и политики безопасности в киберпространстве для систем и устройств IoT

37

32

ИСТОЧНИК: PwC

К сведению

Основные результаты опроса PwC:

  • 25% опрошенных в России и 46% респондентов в мире планируют инвестировать в информационную безопасность «интернета вещей» в этом году;

  • 23% российских респондентов и 35% опрошенных во всем мире имеют реализованную стратегию безопасности для «интернета вещей»;

  • 39% опрошенных в России и 46% в мире планируют инвестировать в новые аспекты безопасности, связанные с развивающимися бизнес-моделями;

  • 34% российских респондентов и 35% опрошенных на глобальном уровне планируют провести оценку межсетевого взаимодействия и выявление уязвимости систем и устройств по всей организационной экосистеме;

  • 39% соотечественников и 43% всех респондентов исследования планируют инвестировать в биометрическую и усиленную аутентификацию в следующем году;

  • 42% опрошенных в России и 35% участников опроса во всем мире планируют вкладывать в профессиональную подготовку по IoT в ближайшие 12 месяцев.

ИСТОЧНИК: PwC