Кибер-безопасность в условиях “Интернета вещей”

«Интернет вещей» (IoT) будет оказывать влияние на каждое предприятие. IoT это растущее явление, которое связывает не только людей, но и сами "вещи" - автомобили, коммерческое и промышленное оборудование, медицинские устройства, удаленные датчики (установленные в естественной природной среде). IoT связывает всё сетями, которые подключены к сети Интернет. Заранее подумайте о влиянии на ваш бизнес этого явления, чтобы быть более дальновидным и вооруженным предпринимателем.

В частности, будьте готовы к тому, что будет брошен вызов Вашей концепции кибер-безопасности и ваши способностям в том, чтобы спокойно работать в IoT-совместимой цифровой сети, проводить в ней свои коммерческие операции, а также работать с партнерскими системами. Как ни парадоксально, сам принцип, который делает IoT настолько мощным – возможность обмениваться информацией мгновенно со всеми и всем (имеются в виду уполномоченные пользователи) – создает огромную угрозу в вопросе кибер-безопасности.


Подобно тому, как деятельность, ориентированная на потребителя, в сфере IT породила систему BYOD (Bring Your Own Device), которая сегодня строго тестирует все режимы на вопрос кибер-безопасности, также IoT будет порождать вспышку "демократизации данных", где данные будут предоставлены в реальном времени для более широкого совместного использования, чем когда-либо. IoT переведет стратегии управления рисками в очередной раунд, потребуются новые средства обеспечения безопасности сети и оценки рисков, а также пересмотр бизнес-моделей. Как и все крупные изменения в коммерческой среде, IoT создаст немало проблем, но при этом добавит возможностей в извлечении прибыли для фирм, готовых сыграть на новых потребностях в осуществлении кибер-безопасности для IoT.

Почему мы говорим, что IoT требует нового мышления в вопросе кибер-безопасности? Главным образом из-за того уровня данных, которые участвуют в обмене. Это быстро развивающаяся особенность IoT, вокруг которой рынки промышленного оборудования еще не выровнены. Заметьте, что мы можем отследить истоки IoT еще в начальных разработках инженеров Original Equipment Manufacturers (OEMs, дословно Производители Оригинального Оборудования), связанных с поиском путей для объективного контроля в реальном времени того, как они проектировали машины для клиентов. Как правило, они использовали термины телематики и управления мобильными ресурсами. Однако, вскоре стало ясно, насколько ценными такие данные были бы для их коллег, занятых маркетингом продукта, обслуживанием клиентов и технической поддержкой. Что касается самих клиентов, то они получили некоторые преимущества, в частности в виде оповещений во время обслуживания, но, вообще говоря, в реальном времени они имели доступ к довольно малому количеству данных, и было довольно труднообрабатывать данные, когда они их получали.

Сегодня все большее число клиентов признает, как эти данные могли бы информировать о их собственных операциях и многие даже чувствуют, что эта информация принадлежит им по праву, что приводит к баталиям на следующие темы: кто владеет и имеет доступ к такой информации, кто несет ответственность за обеспечение безопасности, и еще длинный список вопросов, связанных с этим. К тому же открытым остается вопрос о взаимодействии систем, построенных различными производителями, так как нельзя забывать о конкурентной борьбе и чувствительности общей сети для конкурентной разведки. Одновременно, каждый должен решить вопрос о том, что общий доступ к данным накладывает новые правовые обязательства в поле сотрудничества с торговыми партнерами.

Новые подходы к кибер-безопасности необходимы для решения вопроса доступа к данным сети для их совместного использования. Участники должны гарантировать друг другу, что с таким количеством постоянно движущихся данных между огромным количеством различных сетей и организаций не будет никакого нарушения их отдельных прав и обязательств.

В то же время, как вся система IoT подразумевает создание новых проблем безопасности в киберпространстве в будущем, его использование в некоторых случаях делает крайне актуальной необходимость обеспечения безопасности уже сейчас. Судите сами: 85% «критической инфраструктуры» Америки (электрическая сеть, газо- и нефтепроводы, мосты и туннели) находится в частном секторе, где кибер-безопасности фрагментирована и неравномерна. Эти рынки уже агрессивно заинтересованы в проверенных системах IoT, которые потенциально могут сократить затраты и повысить производительность. Однако эта сложная сеть может быть защищена как совместный актив за счет многочисленности заинтересованных сторон. Более того, государственные ресурсы с их собственным уникальным разработками в области кибер-безопасности находятся на критическом уровне. Не будет преувеличением заявить, что функционирование инфраструктуры общества и наш доступ к достаточному количеству энергии зависит от создания нами новых режимов кибер-безопасности, ориентированных на «Интернет вещей».

Давайте приведем рассмотрение этого вопроса к тому, как вы, как компания будете испытывать IoT, как вы начнете инвестировать в него. По нашим прогнозам это внедрение будет отличаться от ваших предыдущих нововведений в области IT, мобильных и социальных сетей в трех аспектах, и все они имеют свои последствия в том, как вы будете решать вопрос безопасности данных:

Ваша IoT бизнес-модель не будет включать в себя "Freemium" предложения (Примечание переводчика: freemium — бизнес-модель, которая заключается в предложении воспользоваться программным продуктом или услугой бесплатно, в то время как расширенные (улучшения, премиум) функции продукта, его дополнительная функциональность или сервисы, другие продукты связанные с основным — все это предлагается за дополнительную плату, на основе популярности основного бесплатного продукта. Термин Freemium комбинация из двух английских слов — free (бесплатный) и premium (улучшенный, более высокого качества)). IoT предоставляет невероятное количество возможностей для Вас, чтобы предложить недорогие услуги, при этом основанные на высокой ценности. Но платежеспособным клиентам потребуется предоставить более широкий доступ и большие возможности для контроля "их" данных, в отличие от их требований к большинству социальных и мобильных решений, просто потому что они платят.

Ваша обычная политика конфиденциальности не пройдет. Снова повторим, что IoT будет основан на демократизации данных.

Таким образом, своего рода закрытые "пользовательские соглашения", которые разрешают поставщику услуг перепродавать или перераспределять данные о пользователях не будут приемлемы в новой системе. Ваша новая политика должна будет стать больше похожа на тех, «кто переориентировал устройства в вопросе определения прав доступа", то есть определять, кто и на что имеет право, должен непосредственно клиент, а не поставщик услуг.

Вы перейдете от мониторинга к контролю. Полное понимание значения IoT потребует больше, чем просто контроля подключенных устройств в форме мониторинга и предоставления отчетности. Также должны быть обеспечены новые уровни автономии операций. Но эта автономия потребует от устройств работы в независимом, но при этом скоординированном режиме формата «равный с равным» и поддержки удаленного доступа к функциям управления. Внедряющие систему должны будут обеспечить двустороннюю безопасность связи между устройствами.

Как бизнес, инвестирующий в IoT, Вы должны будете установить новые стандарты оборудования (то есть, технологии, позволяющие обеспечить IoT) и новые стандарты поведения (политика безопасности IoT). Ваш первый шаг должен состоять в знакомстве с принципами Resilient Networking. Resilient Networking – понятие, которое исследует сетевую и кибер-безопасность в более связанных, автоматизированных, и динамических цифровых сетях, – другими словами, в IoT. Часть этой работы стала доступна общественности за счет разработанного для Министерства Национальной Безопасности специального отчета «Возможности для устойчивости кибербезопасности», опубликованного в июле 2012 года.
Вы также должны запланировать время для серьезных размышлений о развивающейся политике в области Ваших инвестиций в IoT. Спросите, «почему» что-то должно быть связано прежде, чем соединить это. Кто извлечет выгоду? Как? Такой ряд ключевых вопросов превратится в очень полезную структуру работать с партнерами, чтобы создать взаимно согласованную политику.

Успех в эру IoT будет зависеть от определения и внедрения не только правильных технологий кибербезопасности, но также и правильной политики операционной деятельности. IoT обладает огромным потенциалом в создании ценности для Вас, Ваших клиентов и всего общества в целом. Мы должны заново продумать режимы кибер-безопасности в вопросах всех возможных угроз, которые могут ограничить эту ценность.

CHRISTOPHER J. REZENDES AND W. DAVID STEPHENSON
Christopher J. Rezendes – президент INEX Advisors, консультант в сфере IoT.
David Stephenson автор книги «SmartStuff: An Introduction to the Internet of Things» (Умные вещи: введение в IoT) и консультант в сфере IoT по стратегии Стивенсона.

Оригинал: http://blogs.hbr.org/cs/2013/06/cyber_security_in_the_internet.html

Национальная технологическая инициатива - Онлайн Курс от Дмитрия Пескова
Национальная технологическая инициатива - Онлайн Курс от Дмитрия Пескова