5 составляющих безопасности Интернета вещей

Уязвимости в безопасности важны для специализированных устройств так же, как для любого  другого продукта. Разница заключается в том, что, во-первых, их производители не обладают такими каналами обратной связи, что есть у фирм, продающих операционные системы или программное обеспечение. Во-вторых, эти устройства зачастую имеют закрытую архитектуру с непрозрачным кодом собственной разработки.

Интернет вещей привлек к себе определенное внимание. Определение Интернета вещей разнятся, но основной принцип прост: распространить возможности по вычислению и обработке информации на окружающий физический мир. Начало воплощения данного принципа можно уже наблюдать в росте «умных» устройств: телевизоров, автомобилей, электроприборов, счетчиков и т.д.


Безусловно, можно представить множество вариантов развития событий, которые усовершенствуют существующей сегодня бизнес  благодаря этому принципу: автоматический учет, самодиагностика бытовых приборов (к примеру, холодильников), продвинутая логистика, рост эффективности ввиду улучшенной телеметрии и т.д. Подобные преимущества обещают скорое и плодотворное внедрение Интернета вещей, как только он появится.

Однако существуют и значительные последствия в отношении безопасности и конфиденциальности. К примеру, 51% участников последнего глобального исследования планируют извлечь выгоду из внедрения Интернета вещей, а 45% полагают, что он уже повлиял на их предприятие. Наибольшие опасения были связаны с безопасностью и конфиденциальностью. В частности, «повышенные риски безопасности» назвали 38% респондентов, а «угрозы конфиденциальности данных» вызвали беспокойство у 28% опрошенных в ходе опроса за 2013 год от компании ISACA.

Подготовка к Интернету вещей

Программы обеспечения безопасности уже достаточно долгое время охватывают некоторое количество специализированных устройств с закрытой архитектурой, подключенных к сети. Оцените значение безопасности для торговых терминалов, диагностического оборудования (к примеру, магнитно-резонансных  томографов), а также для промышленных и энергетических систем управления. Несмотря на то, что все они отличаются по назначению и исполнению, их изучение поможет заранее пролить свет на предстоящие трудности в обеспечении безопасности, когда к сети будет подключено множество других специализированных устройств.

Данные трудности являются пробным камнем в подготовке к появлению Интернета вещей. Пока мы не можем разрешить их все – слишком много неизвестных. Но осознание того, какие средства нам могут понадобиться с все большим распространением «умных» устройств, даст ряд преимуществ. Оно поможет преодолеть начальные трудности при внедрении в производство, которые, наверняка, проявятся, и оградить от рисков в то время, когда основные руководства и стандарты только будут появляться.

Хотя работы над безопасностью Интернета вещей еще только ведутся, существует ряд  параметров, которые можно развивать и сейчас – или оттачивать, если они уже внедрены – чтобы быть готовыми заранее. Такие свойства вашего продукта дают преимущества уже сегодня, но с развитием Интернета вещей и повсеместным распространением «умных» устройств – станут критически необходимы.

Параметр 1. Осведомленность о возможных угрозах

Уязвимости в безопасности важны для специализированных устройств так же, как для любого  другого продукта. Разница заключается в том, что, во-первых, их производители не обладают такими каналами обратной связи, что есть у фирм, продающих операционные системы или программное обеспечение. Во-вторых, эти устройства зачастую имеют закрытую архитектуру с непрозрачным кодом собственной разработки.

Таким образом, степень прозрачности в отношении обратной связи о найденных уязвимостях будет разниться. К примеру, некоторые производители могут сначала приуменьшить серьезность этих уязвимостей или недостаточно оперативно сообщать о них. Если продающая компания будет располагать собственными аналитиками, проверяющими устройства на уязвимости, и процессом оперативного сообщения об их находках, а не только уведомлениями от самих производителей – то уязвимости могут быть выявлены раньше. Подобным образом, изучение приемов злоумышленников поможет выявить попытки несанкционированного использования данных устройств.

Параметр 2. Ведение учёта

Как стало известно многим специалистам по безопасности после работы с облачными технологиями и виртуализацией, крайне непросто вести обратным числом учет стремительно развивающейся технологии. После того как простые несвязанные устройства начинают заменяться производительными устройствами, объединенными в сеть, будет важно знать, что это за устройства и где они находятся.

Сведите два этих факта воедино, и станет понятно, что пора начинать отслеживать типы устройств, их местоположение (в случае если устройства стационарные) и ответственных за них. Проще начать сейчас, пока проблема незначительна, чем дождаться стремительного распространения и пытаться организовывать учет впоследствии.

Параметр 3. Безопасность программного обеспечения

Если вы производите «умные» устройства, то надлежит свести к минимуму число ошибок, которые придется исправлять уже после того, как продукт окажется в руках покупателей. Соответственно, если вы покупаете такие устройства, то полезным будет понимать, какие протоколы они используют для взаимодействия.

В обоих случаях требуются специальные знания для понимания, как работают и взаимодействуют приложения; как устроены протоколы; как обходится система безопасности и как проявляются ошибки в конфигурации; какое влияние окажут  другие компоненты на приложения, работающие на данных устройствах и т.д. Подобные навыки переплетаются воедино в сфере безопасности приложений, т.е. программного обеспечения.

Если, подобно большинству магазинов, вы раньше не уделяли данной области особого внимания, то, возможно, разумным шагом будет начать прикладывать усилия в этом направлении.

Параметр 4. Управление сетью поставки

Хотя это и не выглядит сразу очевидным, но безопасность на всех этапах цепочки поставки чрезвычайно важна для обеспечения безопасности самих устройств. Тому есть несколько причин. Во-первых, играет роль подход самих производителей (например, насколько защищенный продукт сделали они  сами). Во-вторых, разработчики программного обеспечения или фирмы-посредники могли установить неверные настройки или сделать другие ошибки при развертывании приложений.

Наконец, службе поддержки для устранения неисправностей может потребоваться предоставить доступ к продукту сторонним организациям. Возможность предоставить подобный доступ сторонним организациям в цепочке поставки добавит системе прозрачности и позволит оценить степень возможного риска.

Параметр 5. Слияние с бизнесом

В сущности, все вышеперечисленные параметры требуют лишь одного, чтобы быть эффективными: а именно, понимать, как организация увязывает внедрение Интернета вещей со своей общей стратегии развития. Для этого предпочтительно как можно быстрее получать информацию о том, что происходит в деятельности фирмы.

Отдалиться от насущной деятельности фирмы всегда было плохо для управления, но в данный момент такой отрыв особенно рискован. Ведь акционеры могли и не подумать о том, что нужно обратиться к IT-специалистам при принятии решения о покупке устройств, которые теперь имеют доступ к сети.

Автор: Эд Мойл

Оригинал статьи - http://www.ecommercetimes.com/story/Securing-the-Internet-of-Things-5-Easy-Pieces-79438.html

Перевод - Павел Корнилов

Национальная технологическая инициатива - Онлайн Курс от Дмитрия Пескова
Национальная технологическая инициатива - Онлайн Курс от Дмитрия Пескова