Этот опасный IoT: угрозы бизнесу и способы решения проблемы

Сетевые технологии сделали мир совсем маленьким, в том смысле, что они позволили людям, которые находятся друг от друга в тысячах километров общаться в режиме реального времени. Но сетевые технологии и устройства могут быть и опасными, если говорить о кибершпионаже. Раньше в блоге компании Zyxel уже публиковались статьи о том, что взлом сетевого оборудования может стать причиной убытков в десятки и сотни долларов США ^[1]. Особую опасность представляют ботнеты ^[2], которые поражают плохо защищенные сетевые девайсы.

Еще одна проблема — IoT в бизнесе и промышленности. По прогнозам специалистов, количество подключенных к сети устройств всех видов к 2020 году ^[3] увеличится до 25-50 млрд, а в 2025 году достигнет 75 млрд ^[4]. Бизнес очень активно использует IoT, к 2022 году расходы на эту сферу достигнут $1 трлн ^[5]. Но в погоне за функциональностью производители и потребители забывают о кибербезопасности.

Насколько реальна опасность?

Если бы кто-то создал индикатор опасности IoT, то этот девайс уже давно ревел бы сиреной и мигал красным светом. Пару лет назад «Лаборатория Касперского» настроила IoT-ловушки (Honeypot), которые имитировали разные гаджеты под управлением Linux ^[6]. Спустя всего несколько секунд после активации Honeypot они стали регистрировать первые попытки подключения к открытому Telnet-порту. За сутки количество уникальных обращений к «ловушкам» достигло нескольких десятков тысяч.

После анализа устройств, которые искали открытые соединения, оказалось, что среди них немало промышленных систем, которые, вообще-то, должны быть хорошо защищены и находиться «за семью печатями». Речь идет, прежде всего, о взломанных системах мониторинга или управления устройствами в сфере промышленности и безопасности. Здесь весь спектр — от кассовых терминалов магазинов, ресторанов и заправочных станций до систем цифрового телевещания, экологического мониторинга, охраны и контроля доступа, управления электропитанием, а также программируемых контроллеров, используемых в промышленности. Была даже система мониторинга сейсмической станции в Бангкоке.

Специалисты другой компании — Positive Technologies, обнаружили, что умные сети электроснабжения чрезвычайно уязвимы для взлома ^[7].

Надо понимать, что это поверхностные исследования, которые открывают верхушку айсберга. Если бы копнули глубже, вероятно, были бы обнаружены и другие сюрпризы.

В чем причина проблемы?

Что касается бытовых устройств, то об этом на Хабре уже писали. В мире корпораций все немного сложнее. Здесь причины следующие:

• Быстрое проникновение IoT-решений и масштабирование производственной инфраструктуры. Компании видят технологические новшества и стремятся их быстрее использовать в погоне за оптимизацией бизнес-процессов и производства. Соответственно, разные решения внедряются без надлежащего контроля с точки зрения кибербезопасности;
• Ненадежные системы аутентификации пользователей. Несмотря на то, что в бизнесе, особенно крупном, используются надежные системы аутентификации, IoT-устройств это обычно не касается. Поставили датчики, запустили — и ладно. А то, что в таких системах, зачастую, остаются дефолтные связки пароль/логин, как-то забывается.
• Разнородность IoT-решений. В мире насчитывается несколько тысяч компаний, которые производят и поставляют IoT-решения для бизнеса. В итоге на одном и том же предприятии могут быть установлены системы разных производителей, которые могли проверить на предмет информационной безопасности по отдельности, но комплексной проверки готовой инфраструктуры или даже ее частей не было.
• Для ускорения вывода продукта на рынок многие компании не создают устройство с нуля, а используют готовые компоненты, включая чип, камеру, беспроводные модули связи и т.п. Любой из этих элементов может быть подвержен взлому. В идеальной ситуации IoT-системы нужно тестировать несколько недель, прежде, чем начинать внедрение.

Так что же делать?

Предложений много, но большинство из них можно свести к такому виду:

• Сертификация IoT-систем, введение отраслевых и государственных стандартов безопасности (возможно, и международных). В качестве исходной точки для разработки таких стандартов можно взять АСУ ТП (промышленные систем управления);
• При внедрении системы на производстве проводить полноценный аудит безопасности силами специалистов ИБ-отдела компании или при помощи аутсорсных профильных компаний;
• Отключать отладочные механизмы, внедрять физическую защиту устройств;
• Отказ от практики создания систем из зоопарка разных решений. Сейчас это сделать сложно в силу отсутствия сертификации, но с течением времени ситуация улучшается;
• Внедрение надежных систем пользовательской аутентификации;
• Со стороны производителей — отказ от заведомо уязвимых технологий, протоколов и программных платформ ^[7];
• Применение комплексных программных средств безопасности с антивирусом, фаерволом, средством обнаружения вторжений, например Kaspersky Internet Security;
• Применение современных аппаратных шлюзов безопасности со всем вышеперечисленным плюс технологиями машинного обучения для эффективной защиты от угроз нулевого дня, например новейшие шлюзы Zyxel ATP ^[8].

В целом, ситуация вряд ли изменится до тех пор, пока ее не захотят изменить основные потребители IoT-решений для бизнеса — т.е., компании и корпорации разного уровня. Как только к IoT-устройствам станут предъявлять повышенные требования, ситуация на рынке изменится.

Возможно, у вас есть примеры проблемных ситуаций с IoT в компании/на производстве? Расскажите об этом в комментариях. А если есть возможность — покажите, как решили проблему.

Автор: Zyxel_CIS

Источник ^[9]