Кіберзагрози в "інтернеті речей": як захистити конфіденційні дані
IoT-устройства перестали быть диковинкой — они появляются в магазинах, онлайн-маркетах и домах. Кроме того, "интернет вещей" выходит за пределы бытового использования — такие устройства применяются в промышленности.
Первая волна взлома IoT-устройств прошла в 2016 году. Хакеры получили доступ к 100 тыс гаджетов. Они управлялись с помощью зараженного ПО и сформировали ботнет — сеть устройств с запущенными на них ботами, которые позволяют злоумышленникам использовать ресурсы систем.
Ботнет Mirai путем подбора комбинаций дефолтных логинов и паролей взломал большое количество камер и роутеров, которые в дальнейшем были использованы для мощнейшей DDoS-атаки.
Самой резонансной была атака, "положившая" DNS-оператора DYN, который трансформирует доменные имена в IP-адреса, а вместе с ним — половину интернета США. Для атаки ботнетом хакеры использовали самый легкий путь: взломав установленные по умолчанию логины и пароли устройств.
С 2016 года по 2017 год количество атак на IoT-девайсы возросло на 600%. Компания Symantec сообщила, что ее сеть Global Intelligence Network блокирует 142 млн угроз в день. Умные устройства подвержены разным рискам.
Проблема в том, что большинство пользователей не задумывается о безопасности своих данных и защите устройств от злоумышленников. Люди ставят пароли, которые легко взломать, не меняют их на роутерах и в целом слишком халатно относятся к безопасности информации.
Это приводит к взломам устройств умного дома, непроизвольным остановкам кардиостимуляторов, масштабным кибератакам и утечкам секретных данных.
Защита информации. Что могут IoT-компании
Переход на "туманные" вычисления. Использование периферийных ("туманных") вычислений позволяет оставлять данные в пределах локальной сети, что повышает их безопасность. Кроме того, "туманные" вычисления дешевле "облачных" и для них меньше время отклика.Компании, производящие IoT-системы, уже внедряют периферийные вычисления.
Анализ угроз. Компании должны понимать, откуда может исходить угроза и какой она будет. Создание сильного аналитического отдела и консультация сервисов, предоставляющих услуги по кибербезопасности, помогут предсказать возможные утечки и защитить слабые места.
У создателя IoT-оборудования должен быть план реагирования на инциденты. Хакеры изучают архитектуру сети перед атакой и могут оставить следы.
Модель Zero Trust. Эта модель предлагает компаниям пересмотреть стратегию безопасности. Она предусматривает недоверие ко всем, даже внутренним, участникам сети. Компания должна понимать, кто и почему имеет доступ к сети, как участники получили его и как долго подключены.
Кроме того, нужно понимать, к какой информации есть доступ у каждого участника. Устройство при повторном подключении к системе должно проходить верификацию. В 2018 году появилась модель экосистемы Zero Trust eXtended, которая также включает механизмы проверки ее эффективности.
Как защитить умный дом
Наибольший интерес для хакеров представляют веб-камеры и маршрутизаторы. Потенциально уязвим любой умный гаджет.
В апреле 2018 года в Калифорнии приняли закон SB-327 о безопасности IoT-устройств. Он обязывает разработчиков смарт-систем создавать для них уникальную пару логин-пароль. В ЕС действуют подобные документы, в частности, директива о безопасности сетей и информационных систем NIS Directive, принятая в июле 2016 года. Это снижает риски взлома устройств.
Чтобы повысить безопасность, нужно соблюдать и другие меры: создавать гостевую сеть без доступа к IoT-устройствам, выбирая пароль, использовать Password Manager, в настройках устройств отключать удаленный доступ по умолчанию, систематически обновлять программное обеспечение.
"Уже происходили кибератаки с использованием "открытых" роутеров. Пользователи не меняют стандартный пароль к ним и этим дают доступ ко всем устройствам умного дома хакерам и маркетологам.
Умные устройства, находящиеся в таких сетях, могут отдавать видео с камер, время открывания замков и постановки на сигнализацию. Эти данные могут использоваться для рекламы, кибератак, грабежа, сбора компромата.
Многие уже ощутили на себе, что даже то, что произнесено вслух, появляется в виде навязчивых реклам в Facebook", — говорит кофаундер и CTO производителя гаджета для кардиомониторинга Cardiomo Роман Белкин.
Говоря о будущем индустрии, CEO компании-разработчика решений для кибербезопасности Hacken Дмитрий Будорин утверждает, что IoT-рынок будет развиваться по модели криптовалют: ему подходит токенизация. Пользователи будут не покупать гаджеты, а оплачивать время их использования.
Безопасность носимых устройств
В январе 2018 года стало известно, что фитнес-трекер Strava раскрыл положение военных баз США. Приложение собирало GPS-данные и размещало на карте наиболее популярные места для пробежек.
Оказалось, что участок в пустыне подозрительно популярен среди пользователей. Причем бегают они в ограниченном периметре. Военные, носившие трекер Strava, не задумывались о том, что маршруты их передвижений будут находиться в открытом доступе.
В июле 2018 года ситуация повторилась с приложением Polar Flow. Оно рассекретило места проживания сотрудников военных баз, их имена и места пробежек. Выяснилось, что умные гаджеты могут не только распространять информацию о владельцах, но и быть угрозой национальной безопасности.
Как защитить данные? Перед использованием гаджета нужно ознакомиться с политикой конфиденциальности, ограничивая доступ приложения к данным, следует проверить все опции, а также отключить определение геолокации.
Безопасность медицинских гаджетов должны обеспечивать компании-производители. "Личные данные пользователей и медицинские данные хранятся на разных серверах. Обмен данными происходит через токены", — говорит о данных пользователей Cardiomo Роман Белкин.
Безопасность Smart TV
"Smart TV — это телевизоры с подключением к интернету. Крупные провайдеры, производители Smart TV и легальные платформы онлайн-контента заинтересованы в обеспечении безопасности пользователей.
Скандалы с утечкой данных пользователей дорого обходятся бизнесу, поэтому компании совершенствуют политику безопасности. Когда известная фирма предлагает ввести данные банковской карты и сделать покупку через Smart TV, она уже позаботилась о том, чтобы эти данные не попали третьим лицам.
"Украинцы часто опасаются платить через Smart TV, потому что для многих это новинка.
На деле это безопасно, что подтверждает сертификат PCI DSS — стандарт безопасности данных индустрии платежных карт.
Чего нельзя сказать о пиратских сайтах с бесплатным (ворованным) контентом.
Кроме того, что это неэтично и нарушает авторские права, на таких площадках никто не беспокоится о безопасности.
Устройства пользователей могут стать жертвами вирусов и мошеннических программ", — говорит Chief Information Officer продуктовой IT-компании MEGOGO Дмитрий Мелков.
Слова эксперта подтверждает исследование, проведенное в Британии. Оно обнаружило, что для пользователей опасны 97% площадок с нелегальным контентом. Как повысить безопасность данных при потреблении видео?
Отказаться от просмотра сериалов или фильмов на пиратских площадках и неизвестных сайтах, постоянно обновлять программное обеспечение от поставщика Smart TV, не загружать сторонние приложения, при использовании внешнего накопителя проверять наличие на нем вирусов.
Mozilla сообщает, что к 2020 году в мире будет 30 млрд подключенных устройств. По данным IoTforAll, только 10% производителей уверены, что на их IoT-гаджетах установлены протоколы безопасности. Ситуацию нужно менять, это вопрос комплексной работы производителей и пользователей.