Государство и компании на страже IoT-безопасности
Количество IoT-устройств и IoT-датчиков, по прогнозам Gartner, в 2021 году превысит 46 млрд, что в два раза больше, чем в 2016 году. Однако количество угроз, которые таит IoT, только растет. Регулирование отрасли государством и объединение ответственных производителей позволят устранить большинство распространенных проблем с обеспечением безопасности в IoT.
По оценкам аналитиков IDC, координация действий ИТ-сообщества и государства позволит или заставит почти 75% вендоров оборудования для Интернета вещей повысить уровень защищенности своих продуктов.
Специалисты почти каждой второй компании в США, использующие технологии Интернета вещей в бизнесе, в ходе исследования Altman Vilandrie & Company заявили, что столкнулись с инцидентами в сфере информационной безопасности. Опрос проходил в апреле 2017 года, в нем опрошено 397 руководителей ИТ отделов из 19 отраслей промышленности. Только 43% респондентов заявили, что имеют отдельный бюджет на обеспечение безопасности в IoT.
В 2015 году аналитики Hewlett Packard провели исследование, посвященное защищенности IoT-девайсов. Выяснилось, что 70% IoT-девайстов имели уязвимости в безопасности учетных данных (логин и пароль), шифрование данных применялось слабо, наблюдались также проблемы с разрешением доступа. В 2016 году почти три четверти (69%) опрошенных компанией Accenture пользователей заявили, что знали о возможностях взлома IoT-девайсов.
Кроме того, производители устройств зачастую экономят на безопасности. В итоге уровень угроз растет. Например, количество попыток просканировать устройства Интернета вещей и выявить уязвимости выросло в 30 раз за последние три года, сообщалось в докладе AT&T.
Количество угроз только продолжает расти
Но растет и количество угроз, которые таит в себе «небезопасный Интернет вещей». iot.ru уже писал о Mirai, BrickerBot и Hajime - наиболее распространенных вредоносах, атакующих IoT-оборудование по всему миру. «Популярность» вредоносов, по мнению аналитиков, обусловлена тем, что компании, производящие оборудование, а также их клиенты, уделяют мало внимания вопросам безопасности. В первую очередь, по наблюдениям Gartner, компании заботятся о дружественности интерфейса, удобстве и сроках массового выпуска своих устройств.
«До сих пор нередко приходится бороться с недооценкой пользователями угроз в IoT. Даже, казалось бы, в бытовом случае с умным домом злоумышленники могут попытаться получить доступ к конфиденциальным данным домовладельца. В стремлении снизить конечную стоимость устройства производители зачастую не задумываются о безопасности», - отмечал Максим Андреев, директор по бизнес-приложениям компании КРОК.
Рынку необходима государственная регуляция
Госрегулирование и консолидация ответственных производителей позволят устранить многие проблемы с обеспечением безопасности в IoT. «С одной стороны, только госрегулирование обяжет вендеров обеспечить необходимый уровень защиты. С другой стороны, будут поставлены некоторые ограничители для развития рынка IoT», - заявляли эксперты ICIT. И в то же время все участники рынка, при его регулировании государственными ведомствами, будут поставлены в равные условия.
Государственные органы в Европе и США занимают активную позицию по вопросам безопасности в IoT. Так, в конце мая Европейское агентство по вопросам сетевой и информационной безопасности (ENISA) обратилось с призывом к Еврокомиссии определить минимальные требования к безопасности IoT-устройств. Предполагается, что к вендорам IoT-оборудования будут применяться требования о соблюдении минимального уровня безопасности и конфиденциальности выпускаемого оборудования.
«Сейчас для умных устройств не определено никакого базового уровня безопасности и базового уровня соблюдения конфиденциальности частной жизни. Не существует также юридических оснований для доверия к IoT-устройствам и IoT-услугам», - отмечается в меморандуме ENISA. По словам экспертов ведомства, соблюдение требований поставит все компании на рынке в равные условия. Сейчас некоторые недобросовестные производители продают оборудование по цене ниже, тем вендоры, которые позаботились о безопасности продукции.
Отсутствие стимулов по надлежащему обеспечению продуктов системами безопасности объясняется колоссальными расходами, которые понесут разработчики. Реальность такова, что безопасность не идет в ногу с инновациями», - указывали эксперты Департамента национальной безопасности США. «Действия хакеров могут привести к нестабильной политической и экономической ситуации в стране. национальная безопасность может быть подорвана, если не обеспечить надежную защиту в сфере IoT», - сообщалось в документах министерства юстиции США в сентябре 2016 года. Именно тогда была создана комиссия для анализа угроз в IoT.
Вопросы безопасности в Интернете вещей в России столь высоко на государственном уровне пока не поднимались. Известно лишь, что специалисты, разрабатывающие «дорожную карту» SafeNet, в рамках национальной технологической инициативы, прорабатывают различные сценарии по обеспечению IoT-безопасности.
Производители в ответе
Не дожидаясь особых распоряжений регулирующих ведомств, ИТ-гиганты создают альянсы для решения вопросов безопасности в IoT. Например, в ноябре 2016 года Cisco, T-Mobile, Google и некоторые крупные компании разработали документ, носящий рекомендательный характер. В нем сообщается, что оборудование необходимо защитить еще перед поставкой потребителям, оснастить при заводской настройке надежными паролями. Софт предполагается оснащать механизмом автоматического и защищенного обновления ПО, а передачу данных осуществлять с помощью передовых механизмов шифрования.
AT&T, IBM, Nokia, IBM, Symantec, Palo Alto Networks и Trustonic в феврале 2017 года учредили IoT Cybersecurity Alliance. Задачей альянса станут исследования и разработка стандартов в сфере безопасности IoT.
К 2019 году свыше 75% производителей IoT-девайсов повысят уровень защищенности и обеспечат прайвеси (неприкосновенность частной жизни), прогнозируют аналитики IDC. Эксперты отмечают, что это станет возможным благодаря координации действий ИТ-сообщества и государства.
Источник: IoT.ru
Читайте также:
В Сеть утекла запись закрытого мероприятия Apple, посвященного борьбе с утечками
В начале июня в компании Apple прошла внутренняя презентация, посвященная борьбе с утечкой информации о находящихся в разработке продуктах компании. Через некоторое время аудиозапись, сделанная во время этой презентации, попала в распоряжение издания The Outline.
Consensus и право 2017: регуляторные перспективы и вызовы блокчейна
В конце мая в Нью-Йорке прошла крупнейшая блокчейн-конференция Consensus 2017. В течение трех дней представители комьюнити обсуждали среди прочего правовые аспекты бурного развития технологии распределенного реестра (ТРР) и криптовалют.