Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов
Скачать 3.32 Mb.
|
Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 23 1.5. Проблемы технологий индустриального Интернета вещей Для того чтобы IoT начал делать мир лучше, необходимо решить ряд проблем. Некоторые из этих проблем носят технический характер, другие – сугубо структурный и этический. Например, пользователи должны начать доверять системам, работающим на основе IoT, а компаниям необходимо при принятии решений использовать подходы, основанные на цифровых данных. Кроме того, необходимо привести российское законодательство в соответствие с новыми реалиями, урегулировать отношения, связанные с использованием технологий IoT, производством, обращением и функционированием устройств IoT (например, автономных транспортных средств на общественных дорогах). Основные проблемы технологий IoT представлены на рисунке 1.4. Рисунок 1.4 – Основные проблемы технологии IoT Стоимость оборудования Для широкого распространения IoT стоимость базового оборудования должна продолжать снижаться. Это касается и RFID-меток, и другого аппаратного обеспечения, включая вычислительные мощности: процессоры, память и системы хранения данных. Чтобы поддержать работу распределенных датчиков и активных меток, необходимо уменьшать и стоимость элементов питания. Почти все приложения нуждаются в недорогих каналах передачи данных как на короткие, так и на длинные расстояния. Чтобы пользователи IoT могли извлечь максимальную пользу из своих данных, стоимость средств хранения информации также должна продолжать снижаться. Совместимость устройств Способность устройств и систем IoT работать совместно имеет решающее значение для реализации всех возможностей IoT-приложений. Принятие открытых стандартов является Проблемы технологий Стоимость оборудования Совместимость устройств Конфиденциальность Защита данных Защита интеллектуальной собственности Нормативное регулирование Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 24 одним из способов обеспечения совместимости. Функциональная совместимость может быть достигнута также путем внедрения систем или платформ, позволяющих различным системам IoT взаимодействовать друг с другом. Конфиденциальность У большинства пользователей вызывают беспокойство проблемы конфиденциальности личных данных, собираемых миллиардами устройств, и незаконного их использования, организации беспокоит возможность незаконного доступа к коммерческой конфиденциальной информации. Поставщики продуктов и услуг с поддержкой IoT-технологий должны будут подготовить убедительные обоснования для сбора и использования данных, обеспечить прозрачность информации о том, какие данные и как используются, и гарантировать надлежащую защиту данных. Защита данных Организации, собирающие данные с миллиардов устройств, должны быть в состоянии защитить эти данные от несанкционированного доступа. Более того, им придется иметь дело с новыми категориями риска, которые может создать IoT. Распространение информационных технологий на новые устройства создает намного больше потенциальных уязвимостей, которые необходимо отслеживать. Когда IoT используется для управления физическими активами, устройствами медицинского назначения и т.п., в результате нарушения безопасности может быть не только раскрыта конфиденциальная информация, но и причинен физический вред. Защита интеллектуальной собственности Чтобы раскрыть огромный потенциал IoT, требуется более четко разграничить права и обязанности участников правоотношений, возникающих в связи с применением технологий IoT, и определить, какие права распространяются на данные, создаваемые различными подключенными устройствами [52]. Например, необходимо определить, кто обладает правом собственности на информацию от датчика, изготовленного одной компанией, применяющего программные решения другой компании и использующего настройки, разработанные третьей стороной. Например, кому принадлежат права на данные, сгенерированные медицинским устройством, имплантированным в тело пациента? Пациенту? Производителю устройства? Медицинскому работнику, который имплантировал устройство, или сотруднику, осуществляющему уход за пациентом? Нормативное регулирование В мире уже назрела необходимость в формировании правовой базы, обеспечивающей благоприятный правовой режим для развития и функционирования IoT-технологий, а также для осуществления экономической деятельности, связанной с их использованием. Возможности регулирования IoT-сферы ограничены взрывной скоростью развития и непредсказуемостью развития технологий. Более всего нуждаются в законодательном регулировании следующие вопросы: сбор, обработка и использование персональных данных, право собственности на данные, технический аспект защиты данных, ответственность при использовании IoT-устройств и несанкционированном распоряжении данными, охрана интеллектуальной собственности. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 25 Все вышеперечисленные проблемы в той или иной мере связаны с вопросом безопасности. IoT имеет отношение почти ко всем аспектам повседневной жизни и затрагивает коммерческую, промышленную, частную сферы и многие другие. По своей сути IoT основывается на внедрении «интеллекта» в обычные бытовые объекты и повышает тем самым полезность того, что раньше было вещью, в результате облегчая все аспекты повседневной жизни, обеспечивая бо́льшую автоматизацию и контроль в таких секторах, как промышленность, энергетика, транспорт, здравоохранение, розничная торговля и т.д. Большинство секторов, связанных с IoT, имеют критическое значение, и любой инцидент, затрагивающий их, может, таким образом, серьезно повлиять на общество в целом. Вопросы и упражнения по данному разделу 1. Определите понятие «Интернет вещей». 2. Приведите примеры применения Интернета вещей. 3. Перечислите основные области применения Интернета вещей. 4. Изложите историю появления и развития Интернета вещей. 5. Укажите основные факторы, повлиявшие на развитие Интернета вещей. 6. Назовите конечные устройства и их роль в архитектуре Интернета вещей. 7. Раскройте особенности индустриального Интернета вещей. 8. Расскажите о роли сетевых подключений в Интернете вещей. 9. Перечислите различные направления М2М. 10. Приведите примеры собираемых и обрабатываемых данных в IoT-системах. 11. На сегодняшний день более __ % вещей из материального мира остаются неподключенными к Интернету. Выберите ответ, дополняющий утверждение: a 85, b 90, c 75, d 99. 12. Какие два типа взаимодействия могут существовать в среде Интернета вещей? (Выберите два варианта.) a процесс – человек, b человек – человек, c машина – данные, d машина – машина, e процесс – данные. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 26 2. Анализ безопасности технологий интернета вещей 2.1. Проблемы безопасности Интернета вещей В настоящее время наблюдается увеличение количества инцидентов (преступлений) в сфере информационной безопасности и информационных технологий. Этому способствует повсеместное распространение сетевых технологий хранения данных и широкое распространение IoT-вещей: в 2018 году число подключенных устройств оценивалось в 22 млрд с перспективой роста примерно до 40 млрд к 2025 году (данные исследовательской компании Strategy Analytics). Эти устройства могут содержать уязвимости, которыми могут воспользоваться киберпреступники и в результате поставить под угрозу конфиденциальность пользователя и общественную безопасность [25]. Не случайно кибербезопасность IoT вызывает беспокойство у 95 % респондентов опроса, проведенного аналитиками IoT Analytics, причем почти 40 % «очень обеспокоены» возможными уязвимостями Интернета вещей [35]. Таким образом, обеспечение безопасности является одной из основных проблем, связанных с IoT. Причиной этой проблемы является тот факт, что технологии IoT, как и большинство потребительских технологий, разработаны без учета требований безопасности, поскольку основной задачей производителей было минимизировать себестоимость и время разработки, удешевить производство и увеличить объем выпускаемой продукции. В результате подобной политики умные устройства испытывают недостаток в ресурсах. Из-за этого недостатка большинство инструментов безопасности не могут быть установлены в устройствах IoT, что делает устройства легкой мишенью для киберпреступлений [38]. Хакеры находят слабости встроенных систем защиты, их уязвимости и могут использовать устройства IoT как инструменты для атак на другие сайты [2]. Киберпреступники, вооруженные технологиями IoT, могут, находясь в виртуальном пространстве, угрожать безопасности и даже жизни людей, и число подобных преступлений растет. Например, Управление по контролю за качеством пищевых продуктов и лекарственных препаратов США (FDA) сообщило, что некоторые кардиостимуляторы (устройство, которое посылает электрические импульсы к сердцу, чтобы установить сердечный ритм и сопутствующие медицинские устройства, уязвимы для взлома [53]. Это означает, что пациенты с кардиостимулятором могут попасть под удар хакеров, которые способны захватить контроль над кардиостимулятором. Цифровые данные IoT являются богатым и часто неисследованным источником информации. Большинство производителей IoT-устройств демонстрируют покупателям функциональность их товара (выполняемые функции и возможности, но не упоминают о технологии ПО, управляющего этими функциями, и не раскрывают его уязвимости. Например, робот-пылесос LG может убирать комнату самостоятельно и сообщать о выполнении задачи, потому что он управляется с помощью датчиков, определяющих размер и форму загрязнения. Исследователи компании Check Point Software Technologies Ltd., поставщика решений по кибербезопасности во всем мире, 26 октября 2017 года обнаружили в мобильном и облачном приложениях LG SmartThinkQ в процессе входа на портал LG уязвимость, которая позволила им удаленно создать поддельную учетную запись LG, а затем использовать ее, чтобы завладеть учетной записью и умными устройствами пользователя LG и получить контроль над пылесосом и встроенной в него видеокамерой, таким образом Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 27 овладев доступом к видеотрансляции в онлайн-режиме из дома. Это значит, что злоумышленник, получив контроль над учетной записью конкретного пользователя LG, может контролировать любое устройство LG, связанное с этой учетной записью, включая пылесосы, холодильники, плиты, посудомоечные и стиральные машины, фены и кондиционеры [54]. Подобные угрозы поднимают важный вопрос: как пользователи умных устройств могут защитить себя. Специалисты по безопасности рекомендуют менять пароли, обновлять приложения и сами устройства, защищать персональные данные. Другой важный аспект обеспечения безопасности связан с администрированием устройств IoT, а именно с распределением ответственности, особенно с учетом внутренней сложности и неоднородности экосистемы IoT, а также проблем масштабируемости. Если обобщить, то проблемы экосистемы IoT заключаются в следующем: Очень большая площадь атаки Угрозы и риски, связанные с IoT, разнообразны и быстро развиваются. Учитывая их влияние на здоровье, безопасность и конфиденциальность пользователей, их опасность нельзя игнорировать. Пользователи могут не знать, что IoT в значительной степени основывается на сборе и обработке больших объемов данных из различных источников, включая и конфиденциальные данные, и обмене ими. Сложность экосистемы IoT IoT следует рассматривать не как совокупность независимых устройств, а скорее как богатую, разнообразную и широкую экосистему, включающую устройства, коммуникации, интерфейсы и людей. Отсутствие законодательных актов, норм, стандартов и правил Фрагментированное и медленное принятие стандартов и правил для внедрения мер безопасности и передового опыта в сфере IoT, а также постоянное появление новых технологий еще более усложняют соответствующие проблемы. Широкое внедрение в критически важные системы Проникновение технологий IoT в критически важную инфраструктуру, имеющую стратегическое значение для государства, несет угрозу безопасности. Сложность интеграции систем безопасности Интеграция систем безопасности – очень сложная задача из-за наличия потенциально противоречивых точек зрения и требований всех заинтересованных сторон. Например, разные устройства и системы IoT могут использовать разные решения аутентификации, при этом их необходимо интегрировать и сделать совместимыми. Экономия производителей на безопасности Стремительное внедрение IoT и расширенная функциональность умных устройств в нескольких критически важных отраслях предоставляют большие возможности для значительной экономии затрат благодаря использованию таких функций, как потоки данных, расширенный мониторинг, интеграция и многие другие. И наоборот, низкая стоимость, которой обычно отличаются устройства и системы IoT, влечет за собой негативные последствия с точки зрения безопасности. Производители могут ограничивать функции безопасности с целью снижения затрат, и, следовательно, система безопасности продукта не сможет защитить от определенных типов хакерских атак. Недостаток опытных специалистов Это довольно новая область, и поэтому не хватает людей с подходящим набором навыков и опытом в области безопасности IoT. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 28 Сложности с обеспечением безопасности при обновлении IoT-устройства Обеспечить безопасность при установке обновлений к IoT чрезвычайно сложно, поскольку специфика пользовательских интерфейсов, доступных пользователям, не позволяет использовать традиционные механизмы обновления. Обеспечение безопасности этих механизмов само по себе является непростой задачей, особенно с учетом использования беспроводной сети. Сложности с обеспечением защиты на всех этапах создания ПО Поскольку количество выпускаемых решений для IoT стремительно растет, производители уделяют недостаточно времени обеспечению безопасности и конфиденциальности на этапе разработки. По этой причине, а иногда и из-за финансовых проблем, компании, разрабатывающие продукты IoT, обычно обращают больше внимания на функциональность и удобство использования устройства, чем на его безопасность. Отсутствие четко сформулированной ответственности Отсутствие четкого распределения ответственности может привести к двусмысленности и конфликтам в случае инцидента, связанного с безопасностью, особенно с учетом большой и сложной цепочки, характерной для производства IoT-устройств. Более того, остается без ответа вопрос о том, как обеспечить безопасность, если в производстве одного устройства участвовало несколько разных сторон (юридических и/или физических лиц). Обеспечение ответственности является еще одной важной проблемой. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 29 2.2. Классификация угроз IoT Экосистема IoT-технологий представляет собой комбинацию разных технологических зон: зона IoT-устройств, сетевая зона и облачная зона. Эти зоны могут быть источником цифровых данных. То есть данные можно собирать с умного устройства или датчика из внутренней сети, такого как брандмауэр или маршрутизатор, или из внешних сетей (облако или приложение. Эти технологические зоны являются и объектом криминального интереса киберпреступников. Для борьбы с киберпреступлениями был создан специальный раздел криминалистики – компьютерная криминалистика, или форензика (англ. Computer forensics), – прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании доказательств в виде компьютерной информации, методах поиска, получения и закрепления таких доказательств [55, с. 12]. IoT-криминалистика (англ. IoT-forensics) как подраздел форензики занимается расследованием киберпреступлений в системе IoT, исследованием цифровых доказательств. В ходе расследования компьютерных преступлений, связанных с мошенничествами, или компьютерных атак, средствами которых так или иначе являлись сетевые соединения, проводят цифровую экспертизу – специальное исследование, включающее анализ использования сетевых технологий. В зависимости от места хранения данных в системе IoT эксперты в сфере IoT- криминалистики выделяют три опасных участка в ландшафте киберугроз: облако, сеть и устройство, соответственно выделяются облачная криминалистика, сетевая и криминалистика на уровне устройства IoT. Поскольку ценные данные часто хранятся в облаке, облачная инфраструктура является одной из самых важных целей для злоумышленников. Для проведения традиционной цифровой экспертизы эксперт-криминалист сначала получает изъятое цифровое оборудование, а затем начинает расследование для извлечения цифровых доказательств (цифровых данных, которые можно использовать в качестве доказательства совершения киберпреступления). Однако если данные хранятся в облаке, используется другой сценарий, потому что цифровые доказательства могут быть размещены в облачных хранилищах на разных серверах и их трудно извлечь оттуда. Кроме того, в облаке ограничен доступ к инфраструктуре и информации о точном месте хранения данных [56]. При расследовании инцидента, произошедшего в облаке, поставщик облачных услуг может запросить информацию об имени владельца данных или месте хранения соответствующих данных [57]. Следует отметить, что у облачных сервисов, использующих виртуальные машины в качестве серверов, данные могут храниться на этих серверах. Реестры записи или временные интернет-файлы на серверах могут быть удалены, если они не синхронизированы с устройствами хранения, например если эти серверы перезапускаются или выключаются. Сетевая криминалистика проводит исследования всех видов сетей, которые используются IoT-устройствами для отправки и получения данных. К ним относятся домашние, промышленные и локальные сети, MAN и WAN. Например, если инцидент связан с устройствами IoT, все журналы, в которых отражен поток трафика, такие как брандмауэры или журналы IDS, могут быть потенциальными доказательствами [58]. Экспертиза на уровне устройства включает в себя все потенциальные цифровые доказательства, которые могут быть собраны с устройств IoT, таких как графика, аудио, видео |