Уязвимости в безопасности важны для специализированных устройств так же, как для любого другого продукта. Разница заключается в том, что, во-первых, их производители не обладают такими каналами обратной связи, что есть у фирм, продающих операционные системы или программное обеспечение. Во-вторых, эти устройства зачастую имеют закрытую архитектуру с непрозрачным кодом собственной разработки.
Интернет вещей привлек к себе определенное внимание. Определение Интернета вещей разнятся, но основной принцип прост: распространить возможности по вычислению и обработке информации на окружающий физический мир. Начало воплощения данного принципа можно уже наблюдать в росте «умных» устройств: телевизоров, автомобилей, электроприборов, счетчиков и т.д.
Безусловно, можно представить множество вариантов развития событий, которые усовершенствуют существующей сегодня бизнес благодаря этому принципу: автоматический учет, самодиагностика бытовых приборов (к примеру, холодильников), продвинутая логистика, рост эффективности ввиду улучшенной телеметрии и т.д. Подобные преимущества обещают скорое и плодотворное внедрение Интернета вещей, как только он появится.
Однако существуют и значительные последствия в отношении безопасности и конфиденциальности. К примеру, 51% участников последнего глобального исследования планируют извлечь выгоду из внедрения Интернета вещей, а 45% полагают, что он уже повлиял на их предприятие. Наибольшие опасения были связаны с безопасностью и конфиденциальностью. В частности, «повышенные риски безопасности» назвали 38% респондентов, а «угрозы конфиденциальности данных» вызвали беспокойство у 28% опрошенных в ходе опроса за 2013 год от компании ISACA.
Подготовка к Интернету вещей
Программы обеспечения безопасности уже достаточно долгое время охватывают некоторое количество специализированных устройств с закрытой архитектурой, подключенных к сети. Оцените значение безопасности для торговых терминалов, диагностического оборудования (к примеру, магнитно-резонансных томографов), а также для промышленных и энергетических систем управления. Несмотря на то, что все они отличаются по назначению и исполнению, их изучение поможет заранее пролить свет на предстоящие трудности в обеспечении безопасности, когда к сети будет подключено множество других специализированных устройств.
Данные трудности являются пробным камнем в подготовке к появлению Интернета вещей. Пока мы не можем разрешить их все – слишком много неизвестных. Но осознание того, какие средства нам могут понадобиться с все большим распространением «умных» устройств, даст ряд преимуществ. Оно поможет преодолеть начальные трудности при внедрении в производство, которые, наверняка, проявятся, и оградить от рисков в то время, когда основные руководства и стандарты только будут появляться.
Хотя работы над безопасностью Интернета вещей еще только ведутся, существует ряд параметров, которые можно развивать и сейчас – или оттачивать, если они уже внедрены – чтобы быть готовыми заранее. Такие свойства вашего продукта дают преимущества уже сегодня, но с развитием Интернета вещей и повсеместным распространением «умных» устройств – станут критически необходимы.
Параметр 1. Осведомленность о возможных угрозах
Уязвимости в безопасности важны для специализированных устройств так же, как для любого другого продукта. Разница заключается в том, что, во-первых, их производители не обладают такими каналами обратной связи, что есть у фирм, продающих операционные системы или программное обеспечение. Во-вторых, эти устройства зачастую имеют закрытую архитектуру с непрозрачным кодом собственной разработки.
Таким образом, степень прозрачности в отношении обратной связи о найденных уязвимостях будет разниться. К примеру, некоторые производители могут сначала приуменьшить серьезность этих уязвимостей или недостаточно оперативно сообщать о них. Если продающая компания будет располагать собственными аналитиками, проверяющими устройства на уязвимости, и процессом оперативного сообщения об их находках, а не только уведомлениями от самих производителей – то уязвимости могут быть выявлены раньше. Подобным образом, изучение приемов злоумышленников поможет выявить попытки несанкционированного использования данных устройств.
Параметр 2. Ведение учёта
Как стало известно многим специалистам по безопасности после работы с облачными технологиями и виртуализацией, крайне непросто вести обратным числом учет стремительно развивающейся технологии. После того как простые несвязанные устройства начинают заменяться производительными устройствами, объединенными в сеть, будет важно знать, что это за устройства и где они находятся.
Сведите два этих факта воедино, и станет понятно, что пора начинать отслеживать типы устройств, их местоположение (в случае если устройства стационарные) и ответственных за них. Проще начать сейчас, пока проблема незначительна, чем дождаться стремительного распространения и пытаться организовывать учет впоследствии.
Параметр 3. Безопасность программного обеспечения
Если вы производите «умные» устройства, то надлежит свести к минимуму число ошибок, которые придется исправлять уже после того, как продукт окажется в руках покупателей. Соответственно, если вы покупаете такие устройства, то полезным будет понимать, какие протоколы они используют для взаимодействия.
В обоих случаях требуются специальные знания для понимания, как работают и взаимодействуют приложения; как устроены протоколы; как обходится система безопасности и как проявляются ошибки в конфигурации; какое влияние окажут другие компоненты на приложения, работающие на данных устройствах и т.д. Подобные навыки переплетаются воедино в сфере безопасности приложений, т.е. программного обеспечения.
Если, подобно большинству магазинов, вы раньше не уделяли данной области особого внимания, то, возможно, разумным шагом будет начать прикладывать усилия в этом направлении.
Параметр 4. Управление сетью поставки
Хотя это и не выглядит сразу очевидным, но безопасность на всех этапах цепочки поставки чрезвычайно важна для обеспечения безопасности самих устройств. Тому есть несколько причин. Во-первых, играет роль подход самих производителей (например, насколько защищенный продукт сделали они сами). Во-вторых, разработчики программного обеспечения или фирмы-посредники могли установить неверные настройки или сделать другие ошибки при развертывании приложений.
Наконец, службе поддержки для устранения неисправностей может потребоваться предоставить доступ к продукту сторонним организациям. Возможность предоставить подобный доступ сторонним организациям в цепочке поставки добавит системе прозрачности и позволит оценить степень возможного риска.
Параметр 5. Слияние с бизнесом
В сущности, все вышеперечисленные параметры требуют лишь одного, чтобы быть эффективными: а именно, понимать, как организация увязывает внедрение Интернета вещей со своей общей стратегии развития. Для этого предпочтительно как можно быстрее получать информацию о том, что происходит в деятельности фирмы.
Отдалиться от насущной деятельности фирмы всегда было плохо для управления, но в данный момент такой отрыв особенно рискован. Ведь акционеры могли и не подумать о том, что нужно обратиться к IT-специалистам при принятии решения о покупке устройств, которые теперь имеют доступ к сети.
Автор: Эд Мойл
Оригинал статьи - http://www.ecommercetimes.com/story/Securing-the-Internet-of-Things-5-Easy-Pieces-79438.html
Перевод - Павел Корнилов