Как обеспечить безопасную работу IoT-устройств
Количество киберугроз для интернета вещей (IoT) выросло на 40% в 2022 году. Многие IoT-устройства плохо или совсем не защищены от атак, говорят эксперты по информационной безопасности. Европа планирует введение новых жестких правил для производителей, однако в РФ такой подход неприемлем. Российские эксперты предлагают регулировать не умные устройства, а безопасность той инфраструктуры, для которой угрозы из интернета вещей наиболее высоки. Важно также формировать стандарты протоколов в сфере IoT.
ЛЕГКАЯ ДОБЫЧА ДЛЯ ХАКЕРОВ
Согласно статистике «Лаборатории Касперского» (ЛК), количество атак на IoT-устройства в России выросло на 40% за первое полугодие 2022 года. Так, в январе на ханипоты (ловушки для злоумышленников, имитирующие уязвимое устройство или сервис) ЛК было зафиксировано 9 млн атак с 12 тыс. уникальных IP-адресов, в то время как в июне – почти 13 млн атак с 29 тыс. адресов. По числу уникальных IP-адресов, с которых проводились атаки, в первой пятерке Китай, США, Южная Корея, Индия и Тайвань.
Злоумышленники строят ботнеты из взломанных устройств, которые затем используются для DDoS-атак. При этом IoT-зловреды постоянно обновляются, ориентируясь, в частности, на новые уязвимости в устройствах.
Руководитель группы аналитиков по информационной безопасности «Лаборатории Касперского» Екатерина Рудина в комментарии для RSpectr уточняет, что в этом году существенно выросло количество так называемых хактивистов, не обладающих серьезным уровнем подготовки. Они массово атакуют то, что наиболее уязвимо и имеет незащищенную конфигурацию. Например, роутеры, видеокамеры, пароли от которых могут годами стоять по умолчанию.
Особо эксперты отмечают, что в зоне риска и медицинское, и производственное оборудование, подключенное к Сети. Зачастую именно IoT-устройства становятся уязвимыми местами компаний.
«СёрчИнформ» не собирает статистику по киберинцидентам в сфере IoT, однако, как сообщил RSpectr ведущий аналитик компании Леонид Чуриков, косвенно подтвердить выводы «Лаборатории Касперского» можно тем, что на сегодняшний день эксперты фиксируют исторический максимум кибератак.
Леонид Чуриков подчеркивает, что
ЧАЩЕ ВСЕГО ПРОИЗВОДИТЕЛИ НЕ ЗАКЛАДЫВАЮТ ПРИНЦИПЫ БЕЗОПАСНОЙ РАЗРАБОТКИ
Вендорам также невыгодно делать новые прошивки или исправлять уязвимости, и именно из-за этого IoT-устройства становятся приманкой для хакеров. По большей части и сами пользователи устройств интернета вещей невнимательно относятся к их безопасности, говорит Леонид Чуриков.
ЕВРОСОЮЗ УЖЕСТОЧАЕТ ТРЕБОВАНИЯ
Между тем в Европе парламентарии намерены ввести регулирование кибербезопасности умных гаджетов. Еврокомиссия представила проект «Акта о киберустойчивости» (Cyber Resilience Act). Согласно документу, производители гаджетов, продаваемых на территории ЕС, должны будут проектировать устройства с учетом требований к кибербезопасности, обеспечивать постоянную поддержку и своевременные обновления в случае выявления уязвимостей на протяжении всего жизненного цикла. Кроме того, производители должны будут предоставлять «достаточную информацию», чтобы потребители могли оценить возможные риски до момента покупки и грамотно настроить уже приобретенное устройство.
ЗА СЕРЬЕЗНЫЕ НАРУШЕНИЯ КОМПАНИЯМ МОГУТ ГРОЗИТЬ ШТРАФЫ ДО 15 МЛН ЕВРО ИЛИ В РАЗМЕРЕ 2,5% ГЛОБАЛЬНОЙ ВЫРУЧКИ
Регулирующие органы также будут иметь право изымать или отзывать не соответствующие требованиям устройства. В случае одобрения Европарламентом и Советом ЕС акт должен вступить в силу в течение двух лет, то есть не ранее 2025 года.
Исследование регулирующих органов ЕС показало, что только половина соответствующих компаний принимает адекватные меры защиты от кибератак. Кроме того, две трети атак происходят из-за ранее обнаруженных уязвимостей, которые производители не могут исправить, говорится в пресс-релизе Еврокомиссии.
Леонид Чуриков отмечает, что введение ответственности производителей за безопасность умных устройств обсуждается во многих странах мира. В Калифорнии (США) хотели принять закон, который обязывал бы производителей IoT-устройств поддерживать обновления и исправлять уязвимости. В Великобритании выпустили перечень рекомендаций о том, как производителям обезопасить свои продукты.
«Это правильно, так как законы простимулируют изготовителей поставлять устройства, которые не смогут функционировать в небезопасном режиме, например, с заводским паролем», – полагает Леонид Чуриков.
В январе этого года китайская технологическая корпорация Xiaomi опубликовала свое руководство по стандартам кибербезопасности для интернета вещей. В нем предложены стандарты в отношении умных устройств, ОС для таких гаджетов, коммуникаций между IoT-устройствами, а также требования к конфиденциальности и защите данных в этой сфере. В Xiaomi предлагают свой документ в качестве «единых глобальных стандартов в области интернета вещей», которые могут быть приняты другими компаниями.
СООТВЕТСТВОВАТЬ СТАНДАРТАМ
Введение подобных норм в РФ в настоящее время нецелесообразно, заявил RSpectr источник в компании, занимающейся информационной безопасностью. По его словам, полностью отечественных IoT-устройств нет, а на фоне ухода из страны зарубежных вендоров и включения механизма параллельного импорта ужесточать требования к IoT-устройствам – не самая лучшая идея.
Рынок IoT сильно зависим от микроэлектронной продукции, а локализация ее производства в России пока остается крайне непростым вопросом, прокомментировал для RSpectr директор по развитию технологических стандартов АНО «Платформа НТИ», председатель технического комитета по стандартизации 194 «Кибер-физические системы» Никита Уткин. «Подавляющее большинство производственных мощностей в области микроэлектроники находится далеко за границами РФ. В остальном – и проектирование, и разработка софта в России не является большой проблемой: компании есть, и их разработки весьма конкурентоспособны», – сказал он.
По мнению эксперта, основой развития рынка IoT-устройств являются раскрытые по всем требуемым процедурам стандарты, такие как NB-Fi и LoRaWAN RU (стандартизированные на национальном уровне протоколы интернета вещей).
Неотъемлемой частью стандартизации, вне зависимости от того, собственное это решение или локализация международной разработки, является проведение необходимых исследований в части доверенности, отмечает Никита Уткин. В этом смысле использование технологий, которые вошли в основу предварительных национальных стандартов (ПНСТ) и ГОСТов, – это определенный гарант качества и защищенности. Кроме того, отдельным вопросам информационной безопасности посвящены определенные стандарты.
Никита Уткин, АНО «Платформа НТИ»:
– Требования нужно формировать «как надо» – с точки зрения поддерживаемых протоколов обмена и форматов данных, а также доверенности, надежности, совместимости. Именно для этого и нужны стандарты. Рынок не станет развиваться лучше или быстрее, если его завалить иностранными устройствами, про которые ничего не известно: как долго и насколько качественно они могут работать, по каким протоколам они функционируют и так далее.
ЗАЩИТИ СВОЙ ДОМ САМ
Более актуальной задачей для российского бизнеса является отражение атак, поделился с RSpectr своим мнением генеральный директор «НИИ СОКБ Центр разработки», резидента IT-кластера Фонда «Сколково» Игорь Калайда. Для этого, по его словам, в первую очередь необходимо скорейшее импортозамещение систем управления устройствами IoT, а в дальней перспективе – переход на отечественную компонентную базу при их создании и собственное ПО, которое позволит обновлять защитные средства и не терять актуальность систем отражения угроз.
Екатерина Рудина полагает, что в РФ нужно регулировать не сами умные устройства, как предлагает Еврокомиссия, а безопасность той инфраструктуры, для которой угрозы из интернета вещей наиболее опасны. В первую очередь промышленные предприятия и объекты критической инфраструктуры.
Эксперт добавляет, что
ПРОЦЕСС РЕГУЛИРОВАНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ТАКИХ ОБЪЕКТАХ В РФ УЖЕ ИДЕТ И НА ДАННОМ ЭТАПЕ В ДОПОЛНИТЕЛЬНЫХ МЕРАХ НЕ НУЖДАЕТСЯ
Директор департамента информационной безопасности Sitronics Group Александр Дворянский обращает внимание на то, что подключенные к интернету промышленные роботы, контроллеры, различные автоматизированные клапаны, видеокамеры для распознавания лиц хорошо защищены строгими требованиями и нормативами по безопасности со стороны отраслевых регуляторов.
Что касается домашних умных устройств, то физические лица, по его словам, самостоятельно несут ответственность за безопасность, поэтому здесь нужно говорить в первую очередь о повышении цифровой грамотности.
В домашней Wi-Fi-сети все элементы умного дома должны находиться в локальном защищенном контуре, отдельно от домашнего или гостевого Wi-Fi, рекомендует эксперт.
Источник: RSpectr
