Мачей Кранц - Интернет вещей. Новая технологическая революция

Однако отрасль IoT все больше консолидируется вокруг единых стандартов и передовых практик безопасности. Сложный мир стандартов я опишу в следующей главе, но вот несколько примеров: комитеты по горизонтальной стандартизации, такие как Инженерный совет интернета (IETF), Институт инженеров электротехники и электроники (IEEE) и Национальный институт стандартов и технологий (NIST), запустили инициативы, связанные с ключевыми сценариями использования решений по безопасности IoT на ряде существующих и новых вертикальных рынков. Кроме того, ODVA, Международная ассоциация автоматизации (ISA) и другие комитеты по вертикальной стандартизации расширили свои программы безопасности, включив туда современные протоколы и передовые практики информационной безопасности, а также сведения об их интеграции со старыми системами и IoT. Эти организации также уделяют большое внимание образованию, обучению и распространению передовых практик. Недавно Консорциум промышленного интернета (IIC) опубликовал «Рекомендации по безопасности промышленного интернета», куда вошли передовые практики и советы по организации безопасности конечных устройств, коммуникаций, мониторинга и настройки оборудования. Будем надеяться, что этот документ, который стал результатом двух лет усердной работы участников IIC, послужит руководством по обеспечению безопасности в сфере промышленного интернета вещей.

Недавно образованный OpenFog Consortium (OFC) выдвигает использование туманных вычислений в качестве ключевого элемента безопасности. Просто подумайте об инструментах аналитики в реальном времени, которые работают в туманном узле автомобиля или буровой платформы. Эти инструменты могут выявлять проблемы и угрозы безопасности сразу после их возникновения и на месте принимать необходимые меры. Тестирование этого инструмента безопасности идет полным ходом. Когда вы решитесь на внедрение IoT, он будет полностью готов к использованию.

Кроме того, отрасль, наконец, ведет совместную работу по ускорению внедрения совместимых стандартов безопасности. К примеру, в автомобильной промышленности американское правительство вместе с исследовательскими организациями и ведущими автопроизводителями работает в Энн-Арборе, Мичиган, где осуществляются разработка, тестирование и совершенствование новых стандартов и практик для подключенных к сети и беспилотных автомобилей.

Безопасность стала одним из важнейших элементов IoT. И все же, несмотря на постоянное обсуждение вопросов безопасности, сегодня в этой сфере остается еще много проблем и недомолвок. Это открывает для поставщиков решений один из наиболее любопытных источников получения прибыли, а также дает им шанс разрабатывать инновационные сценарии безопасности IoT.

Система безопасности IoT более распределенная, разнородная и динамичная, чем система безопасности ИТ и ОТ. Она задействует многочисленные организации и роли, а также всю вашу экосистему IoT. Стоящие перед ней задачи тоже отличаются. В результате IoT требует нового подхода к безопасности, который предполагает не только предотвращение вторжений, но и быстрое выявление атак, оценку и компенсацию ущерба.

По крайней мере, теперь мы знаем, что физическая изоляция завода от всего предприятия и интернета не работает. Обеспечение безопасности IoT требует комплексного, архитектурного подхода, распространяющегося и на физическую безопасность. Встречаясь с директорами по информационной безопасности, я неизменно призываю их брать под личный контроль архитектуру безопасности всей их организации, включая физическую безопасность и безопасность ОТ. Одни прислушиваются ко мне, другие нет. Третьи и хотели бы последовать моему совету, но им мешают внутренняя политика организации и синдром неприятия чужих разработок. Так что, если вы планируете внедрение IoT у себя, то подружитесь с директором по информационной безопасности. В долгосрочной перспективе эта дружба вам обоим пойдет на пользу.

И все же новые сценарии использования IoT, такие как V2V или скопления датчиков, бросают безопасности новые вызовы. Что вы можете сделать? Вот несколько рекомендаций для начала:

• Усовершенствуйте круговую оборону, внедрив надежные системы, которым под силу поглощать атаки, не прекращая работы.

• Оснастите организацию отказоустойчивыми устройствами и системами, которые продолжают работать даже во время атак.

• Отслеживайте поврежденные системы, данные и устройства для последующей компенсации ущерба.

• Следите за исследованиями в сфере безопасности IoT и деятельностью стартапов – они обычно уделяют основное внимание новым сценариям использования решений безопасности IoT и новым технологиям вроде блокчейна.

За последние пять лет безопасность IoT сделала огромный шаг вперед: от устаревшего подхода «безопасность через маскировку» в ОТ-средах и паники вокруг Stuxnet к беспорядочным стратегиям латания дыр. Сегодня организации наконец-то начинают брать на вооружение более зрелый подход, разрабатывая комплексные и гибкие архитектуры безопасности. Хотя в целом – как отрасль, как потребители, как поставщики решений – мы становимся более подкованными в вопросах безопасности, я все еще встречаю множество предпринимателей, которые упрямо цепляются за устаревшие подходы. Многие организации противятся слиянию ИТ и ОТ и избегают разработки и внедрения единых архитектур безопасности. Некоторые директора по информационной безопасности не верят, что эти архитектуры подходят для сред ОТ. Ряд организаций продолжает отрицать изменения, внедряет неподходящие стратегии безопасности или заново изобретает велосипед, решая проблемы, которые их коллеги из ИТ успешно разрешили много лет назад. Более того, я до сих пор встречаю множество поставщиков решений, которые цепляются за свои устаревшие подходы, предлагая специализированные решения или ИТ-продукты, кое-как адаптированные для все более сложных и стандартизированных промышленных сред и протоколов. Очевидно, что необходимо организовывать больше учебных программ и призывать людей делиться передовыми практиками. Не забывайте, мы только начинаем наш путь к безопасности IoT.

«Безопасность – это ключевой фактор достижения успеха, получения финансовой выгоды, открытия новых возможностей, обеспечения уверенности и доверия людей, организаций и целых государств. Низкий уровень безопасности, напротив, приводит к утечке ресурсов и подрывает доверие к системе. Следовательно, организации должны понимать, что безопасность – движущая сила бизнеса, и ее необходимо обеспечивать, чтобы конкурировать и выделяться на рынке, где правит IoT. Они должны нацелиться на разработку и внедрение стратегий безопасности и подходить к ним комплексно, продумывая архитектуру, аналитику, управление, обеспечение конфиденциальности и неприкосновенности данных. Не менее важно, чтобы все команды сотрудников обладали должным уровнем знаний и навыков, удовлетворяющим всем требованиям связанного мира», – заметила Бола Ротиби, директор по научно-исследовательской работе и основатель компании Creative Internet Consulting, занимающейся консалтингом и аналитическими исследованиями.