Мачей Кранц - Интернет вещей. Новая технологическая революция

Я же хочу продать лишь одно решение безопасности: осознанную оценку и мониторинг рисков в сочетании с подходящим и пропорциональным ответом на угрозы безопасности, соответствующим уровню угрозы и потенциальной сумме ущерба. Определив свои потребности, вы сможете выбрать лучшее решение проблемы безопасности из тех, что предлагают поставщики, и сразу внедрить его в свою экосистему. Кроме того, стоит обратить внимание и на страхование кибербезопасности, которое уже начинают предлагать некоторые страховые компании. После этого останется лишь один последний, но важный шаг: привлечь к обеспечению безопасности руководителей вашей организации и заручиться их поддержкой, поскольку никто из них не захочет, чтобы его компания оказалась на первых полосах всех газет в качестве жертвы кибератаки.

Есть много причин для хакерских атак на ваше IoT-решение. Одни хакеры занимаются этим из любопытства, другие делают политические заявления, для третьих это целенаправленные военные акции или террористические акты. Однако я подозреваю, что в большинстве случаев хакеры ищут наживы, воруя данные или коммерческие тайны для получения рыночного преимущества, устранения вас как конкурента или подрыва вашей бизнес-стратегии. Кроме того, обиженный работник таким образом может попытаться вам отомстить. Причин много, и они столь же разнообразны, как сюжеты многочисленных детективных телесериалов. Проблемы безопасности изучаются годами, и один вывод предельно очевиден: большинство нарушений безопасности происходит при использовании известных уязвимостей, которые не были ликвидированы, несмотря на многочисленные предупреждения, а большинство злоумышленников может быть вам хорошо известно – это сотрудники, подрядчики или партнеры того или иного рода. В целом хакерские атаки нельзя назвать ни загадочными, ни оригинальными.

Также не стоит забывать, что обеспечение безопасности нельзя считать исключительно задачей ИТ и ОТ; это даже не технологическая проблема. Это забота топ-менеджеров. Внедряя IoT, ваша организация становится цифровым предприятием. Следовательно, вам нужны интегрированная, единая для всей компании стратегия безопасности и план управления рисками, который задействует всех сотрудников на всех уровнях. Безопасность должна стать важным аспектом должностных обязанностей каждого работника предприятия. Придавайте особое значение политикам, передовым практикам и инструментам обеспечения безопасности, включая их во всю свою деятельность. Обеспечьте обучение основам безопасности как внутри своей организации, так и в экосистеме партнеров по IoT (рис. 9.2) – пусть безопасность станет и их заботой.

Рисунок 9.2. Безопасность – ответственность каждого

Эффективная система безопасности IoT требует полной поддержки комплексного подхода, который объединяет безопасность данных с физической безопасностью высшего класса. Не считайте их изолированными сферами и не забывайте, что большинство кибератак осуществляется изнутри организации. Вот три аспекта физической безопасности, на которые стоит обратить внимание при разработке интегрированной стратегии безопасности:

• Продумайте решение ключевых проблем физической безопасности, включая проход неавторизованных лиц вслед за авторизованным персоналом сквозь оборудованные системой идентификации двери.

• Снабдите физические системы доступа, видеонаблюдения и т. п. цифровыми реквизитами пользователей и системой допуска для всего вашего штата, включая сотрудников, подрядчиков и поставщиков.

• Рассмотрите возможность внедрения биометрической и многоуровневой системы физического доступа.

Как и в случае с остальными аспектами IoT, не стоит заниматься безопасностью в одиночку. Найдите партнеров внутри и за пределами своей организации. Работайте с командой, собранной вашим директором по информационной безопасности. Эти сотрудники помогут вам распространить архитектуру безопасности ИТ на ОТ, а затем дополнить ее с оглядкой на конкретные нужды и проблемы. Посещайте конференции по безопасности IoT, но выбирайте те мероприятия, где ваши коллеги показывают развертываемые решения и делятся передовыми практиками.

Старый подход к обеспечению безопасности состоял в том, чтобы не пускать плохих парней внутрь системы. Этот подход часто называют «обороной в изоляции» или «круговой обороной».

Новый подход считает нарушения безопасности естественным ходом вещей. Он признает, что безопасность не может быть безупречной без полного отключения систем, возможность которого, само собой, даже не рассматривается. Вместо этого необходимо оценивать риски, чтобы определять, какой уровень риска вы можете позволить для каждой системы и бизнес-процесса. Политики использования, аналитика и автоматизация позволяют вашим системам автоматически расставлять приоритеты, купировать и отражать атаки на основании оценки рисков.

Стремитесь к балансу между преимуществами безопасной, непрерывной работы системы и рисками потенциального нарушения безопасности. Как мы уже говорили, угрозы бывают разными и различные типы угроз требуют различных ответов, выбираемых на основании непрерывной оценки рисков и управления ими. Новый подход необходимо взять на вооружение как пользователям IoT, так и поставщикам решений. В частности, пользователям следует придерживаться архитектурного подхода, ликвидировать текущую разобщенность и не отрицать перемены. Поставщикам решений тоже следует придерживаться архитектурного подхода, а также стимулировать сотрудничество и обеспечивать совместимость внутри отрасли. Но главное – им надо с самого начала интегрировать системы безопасности во все свои разработки. Подробнее об этом можно узнать из главы «Безопасность интернета вещей: необходимость новой парадигмы и туманных вычислений», написанной моими коллегами Тао Чжаном, И Чжэном, Рэймондом Чжэном и Хелдером Антюнесом для готовящейся к изданию книги «Туман для 5G и IoT» [41].

Надо понимать, что физическая изоляция не обеспечивает безопасность – и точка. Червь Stuxnet уже дискредитировал этот подход. Само собой, это не означает, что надо ударяться в другую крайность, открывать все данные и переносить все в облако. Отнюдь нет. Поэтому и внедряются гибридные подходы и архитектуры данных на основе правил. Но если вы решите и дальше придерживаться подхода «безопасность через маскировку» и считать, что ваше предприятие на 100 процентов изолировано от внешнего мира, то это будет всего лишь самообольщением. Как насчет подрядчиков, субподрядчиков, поставщиков и партнеров, с которыми вы поддерживаете связь? Держу пари, сейчас у вас в организации действует не менее десятка VPN-соединений.