Интернет вещей — одно из направлений, в котором будут развиваться инновации в области беспроводных, мобильных и облачных технологий. Однако, для корпораций «объединенная вселенная» несет в себе не только бесспорные плюсы, но и различные сложности, в том числе связанные с безопасностью.
Что такое интернет вещей для бизнеса
Несмотря на все разговоры об интернете вещей, все еще есть большое количество разночтений в том, что же под этим понимать.
«Первая большая проблема заключается в том, что у разных организаций разное понимание того, чем же является интернет вещей», — говорит аналитик Gartner Эрл Перкинс (Earl Perkins). «Соответственно, и подходы к обеспечению безопасности у всех разные».
То, чем будет является интернет вещей для конкретной организации, напрямую зависит от ее целей и задач. Тем не менее, существует и определенный «скелет», без которого не построить такую объединенную инфраструктуру. Исследователь компании 451 Research Брайан Партридж (Brian Partridge) говорит, что такой скелет состоит из «устройств, сети и некоего облачного сервиса».
«На каждом из этих уровней есть пространство для возникновения проблем безопасности — и они обязательно возникнут, если система с самого начала проектировалась неверно».
Интернет вещей подразумевает наличие связей между множеством элементов, что серьезно усложняет инфраструктуру. ИБ-эксперт компании LIFARS Ондрей Крехел (Ondrej Krehel) говорит, что именно это приводит к проблемам («сложность — главный враг безопасности»).
Любой элемент системы интернета вещей связан с другими и влияет на них, открывая злоумышленникам возможности для проведения атак. И все эти элементы созданы лишь для того, чтобы работать с данными.
Согласно данным ZDnet, более половины опрошенных американских компаний или уже используют IoT для сбора данных или планируют начать это делать в ближайшем будущем
Защита данных
Данные — это кровь интернета вещей. Соответственно, вся система безопасности корпоративного интернета вещей должна строиться вокруг защиты данных. Это значит, что несмотря на важность защиты на уровне устройств и приложений, обеспечение безопасности на уровне данных остается главной задачей.
По словам Партриджа существует три главных вызова безопасности, касающихся сбора и транспортировки данных в интернете вещей:
- Обеспечение конфиденциальности — предотвращение доступа к данным со стороны людей, которые не должны иметь такой возможности.
- Сохранение целостности — данные должны передаваться по сети так, чтобы их было невозможно перехватить и изменить.
- Аутентификация — необходимо уметь определять, пришли ли данные из доверенного источника и являются корректными.
Интернет вещей все еще является новым понятием, и немного работники компаний знакомы с ним, а также понимают, что при работе с подобными системами способы сбора, обработки, хранения и передачи данных отличаются от привычных. Именно поэтому многие привычные техники обеспечения безопасности просто неэффективны, когда дело касается интернета вещей.
«Благодаря интернету вещей большие данные стали еще больше», — говорит Перкинс. «Теперь вы в буквальном смысле заваливаете сети информацией, данными, которых в этих сетях раньше не было».
Шлюзы и их защита
Термины «данные» и «база данных» обычно не вызывают у людей ассоциации с чем-то, что находится в постоянном движении. Базу данных можно сравнить с банком (по крайней мере, часто они так воспринимаются в компаниях), а защита денег в банке, отличается от защиты денег в движущемся бронированном фургоне.
В реальности же данные постоянно движутся, и пути их перемещения с появлением интернета вещей сильно усложнились. При создании системы взаимосвязанных элементов все равно есть «точки контакта», благодаря которым происходит обмен данными между различными частями сети. По мнению Крехела, фокусироваться стоит на защите именно этих точек.
«Существует множество промежуточных точек на пути данных, в которых они могут быть перехвачены. Теперь задача заключается не в том, чтобы безопасно подключить устройство к сети. Важно обеспечить безопасность взаимодействия разных устройств в ней».
Большинство устройств интернета вещей не обладают достаточными вычислительными мощностями для обработки кода, который защищает данные. Как правило в подобных сетях используются шлюзы и прокси, благодаря которым происходит обмен информацией между различными устройствами — именно эти элементы системы интересуют злоумышленников в первую очередь.
Стоит ли избегать интернета вещей
Партридж говорит, что его часто спрашивают о том, нужно ли избегать интернета вещей на предприятиях из-за возможных проблем с безопасностью. Эксперт считает, что бояться IoT-технологий не стоит, поскольку они дают компаниям большие возможности по развитию бизнеса.
При этом фокус в обеспечении безопасности должен сместиться с защиты устройств и программного обеспечения, к защите взаимодействий различных элементов связанной системы. Безопасность — это и устройства и сервисы, считает Керхел.
Все это открывает новые возможности для провайдеров услуг — они могут предложить защиту «промежуточных точек» взаимодействия и шлюзов в качестве услуги. Это поможет бизнесу обеспечить безопасность своих данных.
Керхел говорит, что мало какая компания сможет самостоятельно обеспечить безопасность данных в IoT-системе, именно поэтому им будет проще обратиться к сторонним поставщикам услуг, которые могут помочь защитить корпоративные системы.
Партридж согласен с этим тезисом: «Аудиты безопасности, консалтинг, планы противодействия атакам и снижения рисков — за все это компании будут готовы заплатить много денег».
Кроме того, Перкинс считает, что развитие интернета вещей поможет людям изменить взгляд на безопасность в целом — использование объединенных в единую сеть устройств поможет достигнуть более высокого уровня защиты в обычной жизни.
Например, «умный дом» может предупредить хозяева о том, что какой-либо прибор (стиральная машинка, микроволновка и т.п.) сломался, или заметить утечку угарного газа. Ритейлеры смогут отслеживать украденные товары с помощью подключенных к интернету маячков безопасности.
Несмотря на все сложности с обеспечением безопасности, интернет вещей открывает значительные перспективы для развития технологий и новые возможности для бизнеса.