Как обеспечить безопасность устройств IoT с приходом 5G и Индустрии 4.0
Интернет вещей (IoT) активно распространяется по миру и находится на пороге всплеска развития. Этому способствуют несколько факторов: сети 5G, Индустрия 4.0 или Четвертая промышленная революция, растущие возможности микропроцессорных вычислений. Умный дом, бизнес и промышленный сегмент IoT-устройств имеют схожие проблемы внедрения – отсутствие единых стандартов, в том числе стандартов документации, качественных описаний протоколов и соединений и соответствующая дороговизна анализа уровня фактической защищенности, отсутствие стандартов функций защиты и, как правило, нехватка ресурсов микрочипов на качественное внедрение этих функций (шифрование, аутентификация и т.д.).
Содержание |
Факторы развития сегмента Интернета вещей
Gartner в начале 2020 года уже отметил все больший интерес компаний к экспериментам с комбинированным Интернетом вещей с целью оптимизации собственных затрат. По мере того как внедрение Интернета вещей расширяется, на первый план выходят требования по обеспечению безопасной работы устройств и повышенной зрелости в ИТ.
Совокупно, компания Gartner прогнозирует в корпоративном сегменте к 2024 году 75% выполненных проектов в области Интернета вещей и блокчейна и вывод на рынок более 100 000 моделей цифровых близнецов. Таким образом, к 2023 году 70% провайдеров должны будут пересмотреть свои решения для защиты IoT-сегмента.
«Цифровой близнец» (Digital Twin) – термин, первую публикацию которого причисляют Дэвиду Гелернтеру (David Gelernter) в книге «Зеркальные миры» (1991 г.), а определение в научных и отраслевых публикациях – Майклу Гривсу (2002 г.). Это виртуальная цифровая копия реального актива, которую можно использовать для моделирования того, что происходит с физическим активом в условиях внешнего воздействия. Часто это гибридная модель, совмещающая в себе цифровые и физические компоненты. Свойство моделирования для цифровых близнецов и, как следствие, возможности по предсказанию и снижению рисков поломок и аварий для их физических копий уже вывело эту технологию в стратегические ИТ-тренды, особенно среди крупных и промышленных предприятий. На пороге Четвертой Промышленной Революции (Industry 4.0) вовлечение цифровых технологий во все производственные процессы неизбежно. Что, в свою очередь, связано с определенными рисками, ведь в большинстве дронов, роботов и других устройствах IoT для выполнения точечной функции, как правило, не развиты собственные механизмы обеспечения информационной безопасности. Риски дополняются нередкой потребностью в удаленном управлении оцифрованными промышленными и другими объектами IoT.
Какое влияние окажут сети 5G в сфере Интернета вещей? Главными особенностями этого поколения мобильной связи являются:
- равномерность покрытия и массовая межмашинная связь,
- сверхширокая полоса пропускания,
- высоконадежное соединение с очень низкой задержкой передачи данных, и, что важно, возможности по подключению большого количества устройств к сети в одной геопозиции,
- низкое энергопотребление и высокая энергоэффективность,
- прямое соединение устройств Интернета вещей в глобальную сеть через мобильный Интернет.
Эти факторы делают возможным подключить к мобильной сети с хорошим каналом связи практически все, что только приходит в голову: от кроссовок и чайника, до любого датчика среды. И всеми устройствами можно будет управлять удаленно, снимать с них телеметрию и производить необходимую аналитику. Это является сильным драйвером к распространению IoT-технологий и сферах экономики, и в обыденной жизни.
С приходящими удобствами появляются риски утечки личной и конфиденциальной информации, как например:
- данные телеметрии (как часто хозяин кроссовок выходит гулять, какой у него любимый магазин, сколько шагов в день он проходит пешком и др.),
- мультимедиа-данные (изображение со встроенных камер),
- внутренние параметры среды (данные с устройств «умного дома») и т.д.
Также основной риск для IoT-устройств в мире 5G-сетей – это прямое подключение устройств к сети Интернет через мобильную сеть, а не сеть Wi-Fi, как в основном происходит в текущих реалиях.
В свою очередь, сами IoT-системы по вычислительной мощности становятся все более сравнимы с полноценным ИТ-оборудованием. Упрощенно, если 15 лет назад телевизор оснащался чипом уровня Arduino, который умел запоминать частоты и переключать каналы, то сейчас это полноценный процессор уровня лучшего смартфона пятилетней давности.
Кроме того, производитель понимает, что пользователь всегда отдаст предпочтение удобству и простоте использования, чем наличию сложных функций безопасности. Например, выбирая тот же телевизор, основными и зачастую единственными критериями будут качество изображений и доступность различных функций медиаконтента. Как показывает практика, даже инциденты с оборудованием не оказывают долгосрочного влияния ни на покупательский спрос, ни на акции и репутацию производителя. В этой связи вкладывать деньги в дорогостоящие работы по развитию информационной безопасности устройств производителю не выгодно. И поэтому уже сейчас часто подобное оборудование становится ботнет агентами. Приведем показательный пример – в мае 2020 года исследователями компании Microsoft была обнаружена крупная DDoS-атака с использованием светодиодных консолей.
Исследователи обнаружили стремительно растущую (в 100 раз за месяц) ботнет-сеть, генерирующую DDoS-атаку объемом до 1 TB в неделю. Ботнет-агенты размещались на LED-панелях – одних из простейших IoT-устройств. Причем более других оказался заражен корпоративный сектор устройств, в частности, крупнейший тайваньский бизнес-центр.
Средняя стоимость чипа Arduino в массовом производстве – буквально пара долларов, поэтому его внедрение в предмет обихода, даже с учетом работ, не увеличит значительно себестоимость товара. В связи с этим, появление таких обыденных IoT-вещей на рынке – только вопрос готовности покупательского спроса.
Более мощные устройства (мультимедиа и др.) используют более мощные процессоры, например, Raspberry Pi Одноплатный микрокомпьютер или даже ARM. Но для выполнения запланированных задач нужны, как правило, меньшие мощности, что порождает профицит ресурса. В то же время внедрение функций безопасности по описанным выше причинам экономически нецелесообразно для производителей, но благоприятно для злоумышленников: «лишние» вычислительные мощности можно применить в своих целях. Массовость и физическая распространенность устройств – дополнительный фактор интереса хакеров к IoT-системам.
Даже используемые в промышленном IoT-сегменте (Industrial IoT, IIoT) проприетарные языки могут применяться для ввода вредоносного кода, кражи конфиденциальной информации и др. С учетом тренда на удаленные мониторинг и управление промышленными системами, растет их взаимодействие с Интранет и Интернет, и соответственно повышаются риски перехвата контроля над ними злоумышленниками или вмешательства в производственный процесс, вплоть до провокации аварий.
Проблемы безопасности Интернета вещей и подходы к их решению
Основные проблемы информационной безопасности и риски для устройств IoT в широком понимании можно описать несколькими пунктами:
- Отсутствие механизмов обновлений (особенно касается более простых устройств).
- Отсутствие средств защиты и защищенных протоколов в прошивке устройств, отсутствие общемировых стандартов в этой тематике.
- Отсутствие контроля безопасности поставщика и цепочки поставки (особенно актуально для цифровых близнецов в промышленности).
- Невнимательное отношение пользователей к настройкам – большинство пользователей не меняют пароли по умолчанию, не включают доступные настройки безопасности и др.
- Прямое подключение слабозащищенных устройств в открытую сеть (особенно актуально с вводом в действие сетей 5G).
Для безопасного функционирования устройства необходимо гарантировать следующее:
- управляемость, наблюдаемость,
- регулярность обновления как основного механизма устранения уязвимостей,
- отсутствие утечки данных.
Некоторые механизмы, например, обновление «на лету» (over-the-air, OTA), для достаточно «умных» устройств производителями уже реализуются. Те же телевизоры напомнят пользователю о необходимости обновления прошивки или ПО мультимедиа-устройства. Дело пользователя вовремя согласиться с предложением. Как правило, пакет обновления уже скачан, и процесс не займет более 1-2 минут. Механизмы отката при неуспехе обновления также внедрены.
Для коммерческих IoT-инфраструктур существует класс решений по обеспечению информационной безопасности. Обзор и квадрант решений, исходя из опыта использования и обратной связи от пользователей за 2019 и 2020 годы, представили несколько компаний, в частности: Teknowlogy Group – Рис. 1 и 2, MachNation – Рис. 3 и 4.
Каждый производитель решений для коммерческих IoT-инфраструктур предлагает концепт как для использования в промышленных предприятиях и коммерческих инфраструктурах, так и для «умного дома». Основные функции, выполняемые решениями:
- Оркестрация, поиск и мониторинг IoT-устройств в видимых сетях.
- Аналитика «грязных» данных IoT-устройств, аналитика больших данных для нахождения в них ценной информации.
- Механизмы обеспечения информационной безопасности: шифрование и контроль доступа к данным устройств, непрерывный мониторинг, управление и аудит конфигураций.
- Некоторые производители (например, AWS) в пакете сервисов предлагает ОС для микроконтроллеров (FreeRTOS) со встроенными функциями безопасности, а также инструменты для создания приложений IoT.
Gartner прогнозирует, что компании все чаще будут приобретать функции безопасности, связанные с IoT, такие как расширение продуктов безопасности общего назначения или IoT-платформы. Выбор компаний чаще направлен в сторону универсальных платформ IoT-безопасности, нежели отдельных решений. Доступные обзоры пользователей систем, предназначенных для защиты IoT-устройств, на ресурсе Gartner Peer Review и их оценки:
- AWS IoT от Amazon Web Service: возможности продукта – 4.7, легкость развертывания – 4.7, качество сервисной поддержки – 4.3.
- Bosch IoT Suite от Bosch Software Innovations: возможности продукта – 4.0, легкость развертывания – 3.0, качество сервисной поддержки – 4.0.
- Mosaic от LTI: возможности продукта – 4.5, легкость развертывания – 4.5, качество сервисной поддержки – 5.0.
- Azure IoT от Microsoft: возможности продукта – 4.4, легкость развертывания – 4.5, качество сервисной поддержки – 4.5.
- PI System от OSIsoft: возможности продукта – 4.0, легкость развертывания – 4.3, качество сервисной поддержки – 4.5.
- ThingWorx от PTC: возможности продукта – 4.6, легкость развертывания – 4.2, качество сервисной поддержки – 4.3.
Выводы и рекомендации конечным пользователям
Крупные производственные компании, малый и средний бизнес проявляют активный интерес к решениям IoT и решениям по обеспечению информационной безопасности IoT-инфраструктуры. Это является показателем активного развития рынка и подготовки предприятий к качественному рывку в цифровой сфере IoT-рынка с уже подготовленной почвой информационной безопасности.
Если коммерческие внедрения IoT имеют ресурсы для поиска и внедрения зрелых подходов к информационной безопасности, то домашнему пользователю такие ресурсы зачастую недоступны. Какими процедурами можно обезопасить себя самостоятельно при использовании устройств IoT новых поколений:
- Обеспечить регулярность обновления прошивки и ПО на устройстве – в любом виде: автоматически или вручную.
- Изменять настройки по умолчанию, в первую очередь, пароли, включая внутреннюю аутентификацию,
- Если есть выбор – использовать Wi-Fi или Bluetooth вместо мобильного подключения, не подключать устройства в общую сеть, выделять для них отдельный сегмент на маршрутизаторе, использовать экранирование в виде межсетевого экрана.
- Иметь резервную копию настроек или образа (смотря что доступно на устройстве) для быстрого восстановления в случае потери контроля или функциональности устройства.
- Если устройство работает в режиме 5G и имеет механизмы бесконтактной оплаты, например, умные часы с интеграцией с AliPay, то надо понимать сопряженные с этим риски и, например, использовать выделенную карту или счет с ограниченными средствами, лимитом снятия, оперативным отслеживанием платежных операций и, возможно, страховкой от нелегитимных операций.
Автор статьи: Михайлова Анна Юрьевна.
Смотрите также
- Информационная безопасность интернета вещей (Internet of Things)
- Industrial Internet of Things - IIoT Промышленный интернет вещей