ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНТЕРНЕТЕ ВЕЩЕЙ

Интернет вещей – это глобальная сеть компьютеров, датчиков (сенсоров) и исполнительных устройств (актуаторов), связывающихся между собой с использованием интернет протокола IP (Internet Protocol) [4].

Интернет вещей можно разделить на две большие отрасли: промышленный и потребительский. К промышленному относятся умные города, умный транспорт, использование Интернета вещей в различных областях, например, в здравоохранении, энергетике, оборонной промышленности. К потребительскому Интернету вещей относятся носимые устройства, умная бытовая техника, умные дома. Интернет вещей все больше проникает в жизнь людей, и скоро представить свою жизнь без смартфона, в котором будет информация обо всех окружающих вещах, да и о собственных физических показателях будет сложно [2].

Какую же пользу приносит внедрение Интернета вещей в жизнь людей? Что касается потребительского, то удобно знать, через какое время подъедет общественный транспорт, какая ситуация на дорогах в данный момент, чтобы как можно больше времени тратить на что-то полезное, а не на ожидание, которого можно избежать. Не будет необходимости снимать показания с счетчика, ведь вся необходимая информация уже будет в специальном приложении в смартфоне. Если говорить о промышленном Интернете вещей, то благодаря автоматизации всех процессов, при использовании датчиков, можно восстановить, поступила ли на производственном конвейере деталь туда, где должна оказаться, и если нет, то выявить и устранить проблему. Также с помощью датчиков появится возможность следить за экологической средой в городе в режиме онлайн, и при приближении к границам нормы воздействовать на окружающую среду.

Но стоит задуматься, что не только человек получает информацию об окружающем его мире, но также и вещи получают информацию о человеке. С добавлением в свою жизнь каждого нового устройства Интернета вещей, информация о человеке будут обрабатываться машиной, что несет за собой сбор, хранение, обработку информации. И узнать по ней можно не так мало: в какое время хозяев не бывает дома, по какому маршруту передвигается владелец устройства, каково его физическое состояние на данный момент. На основе многих данных, собираемых устройствами, можно составить портрет владельца устройств, и с помощью навыков социальной инженерии злоумышленник может создать угрозу для пользователя. Давая доступ к информации о себе устройству, нельзя быть уверенным, что информация не попадет к злоумышленникам.

И хотя безопасность является одним из наиболее важных аспектов в концепции Интернета вещей, в данный момент нет единых стандартов и документов, следуя которым можно сделать Интернет вещей абсолютно безопасным для пользователя. В сфере промышленного Интернета вещей две крупные организации ISO и МЭК занимаются разработкой стандартов. ISO создала рабочую группу, которая занимается адаптацией стандартов семейство ISO 27000 к безопасности Интернета вещей. Также ассоциация стандартов IEEE разрабатывает концепцию стандартизации безопасности в сфере интернета вещей [3].

Но как, не имея утвержденной документации, защитить устройства и свою жизнь от внешних угроз? Существует четыре основных принципа, следуя которым, можно обезопасить пользователя: безопасность связи, защита устройств, контроль устройств и контроль взаимодействий в сети [6].

Безопасность связи: для обеспечения безопасности необходимо использовать защищенный канал связи. Благодаря криптографии на эллиптических кривых, эффективное шифрование происходит даже в слабомощных чипах. Также на устройствах происходит проверка подлинности, а ведущие центры сертификации уже встроили сертификаты устройств для предоставления возможности выполнения проверки подлинности различных устройств Интернета вещей.

Защита устройств: этот принцип включает в себя безопасность кода и его целостность. Для того, чтобы это требование соблюдалось, необходимо подтверждать правомерность запуска, а также необходима защита во время запуска, чтобы злоумышленник не мог перезаписать его во время загрузки. Подписанный криптографически код гарантирует, что он не был изменен после подписания и безопасен для запуска. Также необходимо, чтобы все критически важные датчики имели возможность запускать только надежный, проверенный, криптографически подписанный код.

Контроль устройств: со временем происходит обнаружение новых уязвимостей, и их необходимо устранять. Учитывая потенциальное количество устройств Интернета вещей, а также сферы их применения, не всегда есть возможность физического доступа к устройству. Но также присутствует необходимость своевременных обновлений для обеспечения безопасности, а значит и должна быть возможность устанавливать программное обеспечение по воздуху.

Контроль взаимодействий в сети: кроме всего вышеперечисленного, важно иметь системы анализа безопасности, которые могут заметить подозрительные и, возможно, критичные для устройства аномалии, а также зафиксировать их и передать информацию.

Благодаря этим четырем принципам, можно обеспечить минимальную необходимую защиту для устройств и сети Интернета вещей.

Какие угрозы присутствуют в информационной безопасности Интернета вещей, и какие последствия они несут? Одной из основных угроз, присутствующих в технологии Интернета вещей, является несанкционированный доступ к данным пользователя. Говоря о потребительском Интернете вещей, злоумышленник будет иметь возможность в онлайн-режиме получать информацию о жертве, о ее действиях в конкретный момент времени, личных предпочтениях. Например, недавно была выявлена уязвимость в Smart TV, позволяющая прослушивать комнату с помощью вмонтированного микрофона, и даже следить за телезрителями, а позже информация может быть получена злоумышленником. Но опасность несет не только несанкционированный доступ к данным, но также и доступ к самому устройству [5].

В промышленном Интернете вещей получение доступа к устройству может иметь критические последствия как для одного человека, так и для большого количества людей. Если рассматривать подключенную машину, «Connected Car», то получение управления может привести к аварийной ситуации на дороге. Несанкционированное подключение к умным устройствам, отвечающим за регулирование ситуаций на дорогах, как, например, светофоры, может лишить целые города возможности использования наземного транспорта. Доступ к устройствам промышленного комплекса, как энергетика, может оставить большое количество людей без необходимых ресурсов на неопределенное количество времени. Прежде чем Интернет вещей займет свое место в обеспечении работы критических информационных инфраструктур, необходимо быть готовым к разносторонним кибератакам и иметь возможность защитить устройства.

Помимо того, что злоумышленник получает доступ к данным, генерируемых одним определенным устройством, а также к самому устройству, при подключении нового устройства к домашней сети, смартфон и устройство обмениваются широковещательными UDP–запросами, во время которого указывается идентификатор сети и пароль к ней. Конечно, эти данные пересылаются в зашифрованном виде, но в то же время, компоненты ключа шифрования пересылаются через открытый незащищенный канал. Для перехвата данных злоумышленнику необходимо быть в радиусе действия домашней беспроводной сети, но после получение пароля, необходимости в этом больше нет, и устройство становится закладкой в локальную сеть, к которой подключены и другие устройства пользователя [1].

Это значит, что злоумышленник будет иметь доступ ко всем сервисам, находящимся на устройствах пользователя, а также может получить доступ к таким персональным данным, хранящимся на них, как медицинская карта и банковские реквизиты, и к паролям от различных аккаунтов. Получив доступ к одному устройству можно получить доступ ко всей жизни человека в интернете.

Помимо этого, одним из самых серьезных рисков является то, что устройства Интернета вещей практически никак не защищены, и могут быть легко взломаны извне. Недавно было выявлено, что в прошивке некоторых устройств Интернета вещей был указан пароль от root-пользователя в незашифрованном виде, что дает возможность изменять прошивку устройства, а значит и добавлять функции, потенциально опасные для пользователя. Устройства Интернета вещей оказываются легкими мишенями, и позже могут использоваться как часть ботнета для дальнейшего проведения DDoS-атак на сторонние сервисы. И если в данный момент количество устройств Интернета вещей исчисляется тысячами, то после популяризации и повсеместного перехода к Интернету вещей, количество устройств будет исчисляться миллиардами.

Что необходимо делать, чтобы минимизировать риски: если на устройстве есть пароль по умолчанию, необходимо при первом подключении изменить его на сложный пароль, производителю предлагается снабжать устройства специальным чипом, который позволяет устройству работать только при выполнении определенных сетевых настроек, но из-за отсутствия стандартов, это сложно для реализации. Также нужно иметь на устройстве возможность обновления программного обеспечения по воздуху, но только от надежных источников, прошедших сертификацию.

Интернет вещей является концепцией, к которой непрерывно двигается мировое общество. Процессы, которые будут автоматизированы с использованием технологий Интернета вещей, позволят убрать большой процент физического труда, который в данный промежуток времени, и всегда до этого, выполнялся человеком. Переход к Интернету вещей – неотъемлемая часть технической революции и перехода к новому устрою общества. И обеспечению безопасности конфиденциальных данных, защите передаваемой по сети информации, защите устройств для хранения и обработки данных должно быть уделено особое внимание при разработке и внедрении сети Интернета вещей в мире.

Список литературы:

1. Алюшин В., Крылов В., SECURELIST, Учимся жить в Интернете вещей, [Электронный ресурс]– Режим доступа. – URL: https://securelist.ru/uchimsya-zhit-v-internete-veshhej/27244/ (дата обращения: 06.05.2018)
2. Анциферов Ф., RUSBASE, О классификации Интернета вещей, [Электронный ресурс]– Режим доступа. – URL:https://rb.ru/opinion/iot-classes/(дата обращения: 07.05.2018)
3. Байназаров Н., RUSBASE, Как обезопасить интернет вещей? [Электронный ресурс]– Режим доступа. – URL:https://rb.ru/story/IoT-security/ (дата обращения: 07.05.2018)
4. Ваняшин C.В., Гребешков А.Ю., Росляков А.В., Интернет вещей, – Самара: ПГУТИ, 2015. – 200 с.
5. Коняев А., Легезо Д., Лукацкий А., Новости Интернета вещей, Информационная безопасность в Интернете вещей, [Электронный ресурс] – Режим доступа. – URL:https://iot.ru/bezopasnost/informatsionnaya-bezopasnost-v-internete-veshchey (дата обращения: 06.05.2018)
6. Орешкина Д., ANTI-MALWARE, Эталонная архитектура безопасности интернета вещей(IoT). Часть 1 [Электронный ресурс] URL:https://www.anti-malware.ru/practice/solutions/iot-the-reference-security-architecture-part-1 (дата обращения: 07.05.2018)