Кибербезопасность: что мешает росту интернета вещей

Разработка ПО Статьи Bain & Company
Инвестиции в системы безопасности могут привести к росту рынка интернета вещей на $9 млрд в 2020 году. Bain рассказывает, почему компании не покупают больше IoT-устройств и что делать вендорам, чтобы обеспечить кибербезопасность клиентов

Что клиенты думают о кибербезопасности?

Согласно исследованиям Bain & Company, корпоративные клиенты ограничивают инвестиции в IoT-устройства, так как производители не могут обеспечить достаточный уровень безопасности. Большинство руководителей сказали, что покупали бы в среднем на 70% больше устройств, если бы те были безопасными, и готовы платить в среднем на 22% больше за устройства с повышенным уровнем безопасности. Это может быть в том числе связано с ростом давления со стороны регуляторов, которые предъявляют все более строгие требования к защите данных и вводят штрафы для компаний в случае проблем с безопасностью, включая нарушения в сфере защиты данных.

Важно, что даже руководители компаний с наиболее продвинутыми компетенциями в сфере кибербезопасности обеспокоены рисками в сфере безопасности. 60% опрошенных руководителей беспокоят риски, связанные с использованием IoT-устройств. При плохой защите через устройство, подключенное к интернету вещей, можно получить доступ к корпоративным системам и нанести ущерб операционной деятельности, выручке и безопасности данных.

Кибератаки: как зараженные устройства вредят предприятиям

В октябре 2016 года атака вредоносного ПО Mirai затронула тысячи датчиков, камер и прочих устройств, которые вместе образовали огромную сеть ботов — ботнет. Она запускала распределенные DDoS-атаки, подрывавшие работу популярных сайтов, включая GitHub, Netflix, Twitter и Airbnb.

В январе 2018 года разновидность Mirai под названием Okiru атаковала популярные версии процессоров ARC, встроенных в миллиарды IoT-продуктов.

Кроме того, взломанные IoT-устройства также можно использовать для «клик-фрода» и майнинга криптовалют (биткоин и monero).

Вендорам IoT-устройств необходимо сегментировать свою целевую аудиторию по уровням зрелости компетенций в сфере кибербезопасности. Это поможет при разработке необходимых решений и предложений для рынка. Наименее продвинутые клиенты скорее заинтересованы в упрощенных и интегрированных решениях в области безопасности, в то время как клиенты с более продвинутыми компетенциями готовы инвестировать в кастомизированные и точечные продукты. Кроме того, компании с высоким уровнем зрелости в сфере кибербезопасности внимательнее относятся к рискам интернета вещей и готовы к более сложным практикам в сфере кибербезопасности.

 

Согласно опросу, руководители в сфере товаров длительного пользования, строительства, энергетики и ЖКХ, финансовых услуг и технологий, как правило, видят больше рисков, чем в других отраслях. Это отражает реалии отрасли, а не только восприятие отдельных менеджеров. Крупные производственные компании используют тысячи IoT-устройств, от датчиков до сложных полуавтономных роботов. Взлом датчиков и вызванная этим неточность данных могут привести к значительному ущербу:

  • повлиять на способность производителя принимать оперативные решения,
  • создать проблему с товарными запасами,
  • дестабилизировать всю цепочку создания стоимости.

Компании, занимающиеся добычей нефти и газа, используют тысячи IoT-датчиков и сложные устройства контроля добычи на скважинах и буровых платформах. Они используют терабайты данных, получаемые с IoT-устройств ежедневно, практически в режиме реального времени, чтобы корректировать операционную деятельность и соответствовать требованиям безопасности на производстве. Нарушение целостности или потока этих данных может привести к катастрофическому ущербу.

Что нужно клиентам?

Клиентам нужны высокоэффективные решения, простые с точки зрения интеграции и гибкие с точки зрения внедрения. Однако только треть решений в сфере кибербезопасности интернета вещей предложена IoT-вендорами, которые либо не предлагают целостных качественных решений, удовлетворяющих потребности клиентов, либо недостаточно хорошо их продвигают. Компании с наиболее продвинутыми компетенциями в сфере кибербезопасности чаще полагаются на свои внутренние решения, потому что у них более сложные потребности, есть таланты и компетенции для соответствующих разработок. В компаниях с несистемными компетенциями в области безопасности максимальное количество пробелов на всех уровнях интернета вещей.

Интерфейс доступа обладает максимальным уровнем защиты, разработанным внутри компании или предоставленным производителем или третьими лицами. На прочих уровнях системы безопасности защиту обеспечивают внутренние решения, а в некоторых случаях ее вообще нет. Это объясняется отсутствием хорошо проработанных продуктов и услуг в сфере кибербезопасности интернета вещей, что и вынуждает клиентов разрабатывать собственные решения или отказываться от них вообще.

Аппаратные решения по безопасности должны устранять уязвимости на уровне физического интерфейса (например, портов USB или Ethernet), операционной системы и встроенного ПО устройства. Но лишь немногие производители проводят достаточное тестирование своего оборудования на предмет известных уязвимостей до отправки клиенту и намного больше устройств не проходит тесты на новые уязвимости.

Большинство корпоративных клиентов хотят иметь единый инструмент и единый взгляд на свои устройства с точки зрения безопасности, однако немногие производители IoT-устройств хорошо понимают операционную деятельности своих клиентов, чтобы предоставлять подобные решения. Производителям следует вместе с клиентом найти доверенных сторонних игроков, которые могут стать партнерами при разработке комплексных решений безопасности.

Что делать вендорам IoT-устройств?

Эксперты Bain & Company рассмотрели, как компании-респонденты применяют решения на разных уровнях системы безопасности, и обнаружили точки роста для IoT-вендоров.

Вендорам IoT-устройств — производителям таких устройства и компаниям, предоставляющим соответствующие решения, следует повышать уровень безопасности, чтобы получить конкурентное преимущество и увеличить свою долю рынка. Некоторые лидеры экосистемы интернета вещей уже действуют в этом направлении.

Amazon создала экосистему IoT-решений, интегрированную с ее облаком, а также получила лицензию на FreeRTOS — операционную систему с открытым исходным кодом, упрощающую разработку, развертывание, управление и обеспечение безопасности маломощных IoT-устройств. Компания дополнила ее библиотеками и инструментами, помогающими управлять IoT-устройствами и обеспечивать безопасность данных и сетей.

Azure IoT Hub от Microsoft предлагает возможности управления устройствами и обеспечения их безопасности, контролируя использование, авторизацию и безопасное соединение.

В 2014 году компания GE, производитель устройств для промышленного интернета вещей (IIoT), приобрела компанию Wurldtech и интегрировала ее продукты в сфере безопасности Achilles в собственную платформу управления интернетом вещей Predix. С точки зрения организации управления GE передает ответственность за управление рисками и безопасность продуктов выделенным лидерам в своей организации, которые обеспечивают кибербезопасность в том числе IoT-устройств.

Подобные инициативы — значительный прогресс, но этого недостаточно, чтобы устранить все препятствия на пути распространения интернета вещей. Все вендоры IoT-устройств должны уделять больше внимания безопасности еще на этапе разработки и внедрения устройств.

1. Производителям необходимо понимать, как клиенты используют их IoT-устройства. Определение среднего уровня зрелости клиентов в сфере кибербезопасности поможет производителям инвестировать в соответствующие готовые и дополнительные решения. Например, клиенты с несистемным уровнем зрелости, как правило, ищут выгодную цену, а не лучшие решения.

2. Производители должны обеспечивать кибербезопасность на уровне устройства. Проектно-техническим группам необходимо использовать безопасные практики разработки при работе над программным и аппаратным обеспечением устройства, а также предоставлять встроенные решения для интерфейса доступа и приложений. Большинство клиентов воспользуется этими готовыми решениями вне зависимости от зрелости своего направления кибербезопасности. Такие меры могут минимизировать обычные уязвимости IoT-устройств, например использование паролей по умолчанию или установленных паролей, отсутствие безопасности данных в отношении учетных данных и сетевой коммуникации, а также слабые меры обеспечения целостности системы.

3. Производители должны сотрудничать с доверенными вендорами в области кибербезопасности, чтобы предоставлять клиентам дополнительные решения, в том числе в рамках послепродажного обслуживания на уровне данных, сети, операционной деятельности, и выборочно интегрировать для определенных клиентских сегментов. Например, клиенты с надежными системами безопасности скорее выберут интегрированные решения, а продвинутые покупатели будут искать лучшие практики в каждой категории, а не стремиться к интеграции.

4. Производителям необходимо соответствовать определенным пороговым значениям обеспечения качества, чтобы гарантировать, что их IoT-устройства могут противостоять известным уязвимостям. Чтобы обеспечивать более надежную защиту устройств в соответствии с лучшими практиками кибербезопасности, компаниям необходимо:

  • методичнее организовывать процесс выявления и устранения уязвимостей на всех уровнях,
  • использовать сторонние тесты для выявления уязвимостей,
  • определять срок гарантии по кибербезопасности с четкими обязательствами, за что и в течение какого периода вендор несет ответственность,
  • выполнять свои обязательства в течение периода гарантии, непрерывно тестируя устройства на новые уязвимости, и обеспечивать обновления встроенного ПО, операционных систем и приложений в ответ на обнаруженные новые уязвимости для готовых решений и решений для вторичного рынка.