Подключаемые устройства (IoT): инновация или открытый путь для кибератак?

Датчики, камеры, умные замки, голосовые помощники… Их наличие обещает большую эффективность, уровень автоматизации, и сбор полезных данных. Но есть значительный недостаток — большая подверженность кибератакам. Подключённые устройства (IoT) всё чаще появляются в нашей жизни и в бизнесе. Интернет вещей (IoT) меняет бизнес, переходя от простого мониторинга температуры к предиктивному обслуживанию. Но эта революция сопряжена с серьёзной проблемой: безопасность часто игнорируется. Для полной реализации потенциала Интернета вещей необходима надёжная и высокопроизводительная коммуникационная инфраструктура. Действительно, для эффективного управления Интернетом вещей требуется сеть, способная поддерживать большое количество подключаемых устройств, передавать данные в режиме реального времени со значительным потоком и обеспечивать широкое покрытие внутри здания. У большинства устройств Интернета вещей отсутствуют экраны, клавиатуры и стандартизированные методы подключения. Как результат - плохо защищённые соединения, комплексная аутентификация, незашифрованные данные, устаревшие операционные системы и другие факторы. А вот последствия небрежного отношения могут быть серьёзными: сетевые вторжения, кража данных, программы-вымогатели…

Практически большая часть трафика Интернета вещей, инсталлированных даже в профессиональной среде, не зашифровано. Добавьте к этому тот факт, что пароли по умолчанию редко меняются, обновления прошивки часто отсутствуют, а сети неоднородны… и вы получите идеальную распахнутую дверь для хакеров. Почему так сложно обеспечить безопасность в сетях IoT? Тут присутствует множество причин, но среди основных выделяются следующие:

- разнородность: каждое устройство отличается, общих стандартов очень мало;

- ограниченные уровни аутентификация самих устройств: нет массового подключения, нет надёжных сертификатов;

- сложная идентификация: ИТ-отделам часто бывает сложно составить карту всех, фактически подключённых, устройств;

- недостаточная осведомлённость: многие сотрудники и представители малого и среднего бизнеса недооценивают риски использования таких потребительских устройств.

Например, камера видеонаблюдения, на которой установлен пароль по умолчанию, может предоставить злоумышленнику доступ к внутреннему ключу Wi-Fi компании. Проникнув в сеть, злоумышленник может украсть конфиденциальные данные или запустить программу-вымогатель. Ситуацию усугубляют теневые ИТ-решения и практика приноса и подключения своих личных устройств: от смартфонов до разных бытовых смарт-гаджетов, которые часто подключаются к корпоративным сетям без ведома ИТ-отдела.

Виртуальные сети, обеспечивающие удалённый доступ пользователей к подключённым мультимедийным устройствам, привлекают повышенное внимание хакерского сообщества, поскольку охватывают реальные сценарии с неявной средой. Несмотря на ряд преимуществ, успешное внедрение IoT сопряжено с рядом трудностей, поскольку данные передаются по разным уровням. Одной из важнейших проблем является безопасность данных на этих уровнях. Для большинства наблюдателей это очевидный прогресс: элегантное сочетание технологий, архитектуры и данных, разработанное для обеспечения эффективности и комфорта. Но никто не видит, что одна и та же взаимосвязанная система незаметно подвергается атакам. Всего за несколько часов одна слабая учётная запись поставщика любого устройства или элемента "умного здания" может открыть доступ не только к системе отопления, вентиляции и кондиционирования воздуха, но и к системам контроля доступа, камерам видеонаблюдения и даже к Wi-Fi арендатора.

Это не гипотеза. Исследователи продемонстрировали, что умные здания, оснащённые устройствами Интернета вещей (IoT), которые управляют всем — от освещения до замков, — особенно уязвимы для взлома. И хотя руководители потратили два десятилетия на то, чтобы смириться с финансовыми и репутационными издержками от утечек данных, гораздо меньше людей осознали, что в таком здании киберриск существует не только в серверах дата-центра, где формируется облачный сервис, но он «обитает» также в стенах, лифтах и воздуховодах.

С каждым новым устройством, датчиком или подключённой системой расширяется поверхность атаки. Киберфизический риск возникает, когда цифровые системы напрямую контролируют физическую среду. В умном здании этот риск уже не теоретический. Рассмотрим систему управления зданием (BMS) – нервный центр, управляющий системами отопления, вентиляции и кондиционирования воздуха, освещением, лифтами и пожарной сигнализацией. Если злоумышленник взломает её, он не просто получит доступ к данным, но и сможет заблокировать доступ арендаторов, отключить систему пожаротушения или погрузить здание в хаос. Многим знакома такая ситуация по многим боевикам - но между тем, в мегаполисах это может стать реальной действительностью.

Другие уязвимости менее очевидны, но не менее опасны. Датчики присутствия отслеживают перемещения сотрудников в режиме реального времени. Системы контроля доступа используют мобильные учётные данные, хранящиеся на персональных устройствах. Даже умные термостаты и паркоматы собирают потоки информации, которые в случае перехвата могут быть использованы для отслеживания поведения людей или осуществления более сложных атак. Граница между ИТ-проблемой и проблемой инфраструктуры стирается. Тем не менее, многие организации продолжают относиться к рискам, связанным с умными зданиями, как к чужой заботе, пока однажды это не изменится.

Уязвимости можно разделить на три основные категории:

1. Устаревшие системы и пробелы в системе исправления ошибок. Большинство корпоративных сетей никогда не разрабатывались с учётом внедрения повышенного уровня кибербезопасности. Некоторые работают на программном обеспечении, которое, возможно, не обновлялось годами, что делает их уязвимыми для известных эксплойтов. Одна система без исправлений может стать точкой входа в инфраструктуру всей компании.

2. Сторонним поставщикам иногда требуется удалённый доступ к серверам компании, лифтам, системам отопления, вентиляции в «умных» зданиях. Эти порталы часто становятся целью злоумышленников, особенно если они используют общие учётные данные на нескольких объектах.

3. Рядовые работники, арендаторы, подрядчики и даже уборщики устанавливают новые устройства: камеры, датчики, маршрутизаторы – без надзора. Каждое из них становится потенциальной лазейкой. Поскольку эти устройства часто не имеют надёжного шифрования, злоумышленникам легко их взломать.

Хакеры не гадают. Они сканируют, каталогизируют и ждут. И когда предоставляется случай, они находят уязвимость, и не просто крадут данные, а могут надолго внедриться в сеть, оставаясь там незаметными и отслеживая множество процессов – тем самым манипулируя физическим миром.

Для организаций с ценными активами или руководителями защитная разведка больше не роскошь. В сочетании с отказоустойчивой архитектурой она может превратить потенциальный кризис в управляемый инцидент. Киберфизические угрозы редко возникают без предупреждения - злоумышленники тоже разведывают, тестируют и обсуждают в форумах закрытых сообществ различные способы взлома/проникновения. Защитная разведка – мониторинг цифровых сигналов, отраслевых обсуждений и каналов угроз – может обеспечить раннее оповещение, используя несколько каналов получения информации: от мониторинга форумов даркнета до выявление внутренних рисков по аномальному доступу в режиме реального времени.

Руководители склонны делегировать риски, связанные с кибербезопасностью, ИТ-отделам, но нельзя упускать основную мысль, что цифровые угрозы — это, по сути, бизнес-риски, а не просто технические проблемы. В логистике атака вируса-вымогателя на интеллектуальный склад может остановить робототехнику и автономные конвейеры, нарушая графики поставок и контракты. В коммерческой недвижимости скомпрометированная система здания может подорвать доверие арендаторов, снизить темпы продления договоров и напрямую повлиять на стоимость активов. В здравоохранении взлом систем Интернета вещей может привести к нарушениям критических систем жизнеобеспечения и кризису безопасности пациентов. В розничной торговле скомпрометированные POS-терминалы и датчики присутствия приводят к финансовым потерям и ущербу для бренда. В сфере прямых инвестиций один уязвимый интеллектуальный актив может потянуть за собой весь портфель, подвергая инвесторов пристальному вниманию со стороны регулирующих органов и риску для репутации. В итоге: если руководитель контролирует активы, то киберфизический риск — это его проблема. Игнорирование этого факта не переложит проблему на чужие плечи.

Руководителю бизнеса надо понимать, что предположения и самоуспокоенность - это главные враги безопасности. ИТ-отделы полагают, что персонал строго соблюдает протоколы безопасности. Работники полагают, что ИТ-отдел всё контролирует. Ни то, ни другое неверно. Порой начальство разных уровней руководствуется бюджетными предубеждениями, рассматривая технологические интеллектуальные новшества, как капитальное улучшение, а вложения в безопасность относят к необязательному второстепенному компоненту.

Лучшее, что может сделать мудрый руководитель, прочитав эту статью - это заказать внешнюю независимую оценку киберфизических рисков, чтобы получить полное представление об уязвимостях своей бизнес-инфраструктуры. Ошибочно думать, что айтишники компании достоверно знают, где могут находиться уязвимости. Сделайте безопасность Интернета вещей частью такой комплексной проверки - и скорее всего, будете неприятно удивлены. Многие компании не могут оправдать содержание штатного специалиста по безопасности - но время от времени тратиться на независимый аудит - обойдётся дешевле возможных потерь от взлома корпоративной системы.