Кто должен нести ответственность за кибербезопасность Интернета вещей
Современные технологии улучшают и упрощают нам жизнь. Это удобно, когда можно дать голосовую команду аудиосистеме и она выберет и воспроизведет любимый трек, заказать что-нибудь в Интернете, используя только голос или попросить холодильник сообщить, когда закончатся запасы еды, а также настроить офисный принтер, чтобы он сам диагностировал и автоматически запрашивал обслуживание у поставщика. Еще каких-то 10-15 лет назад, все вышеперечисленное можно было наблюдать только в фантастических фильмах. Сейчас – это реальность.
Подобные функции стимулируют спрос на умные офисы, умные дома, умную технику, умные здания и умные города — все они связаны через Интернет вещей (IoT).
Интернет вещей — это сеть физических объектов, оснащенных датчиками, программным обеспечением и другими технологиями для обмена данными с другими устройствами и системами через Интернет. К ним относятся встроенные системы, беспроводные сенсорные сети, системы управления, системы автоматизации дома и зданий, а также устройства для умного дома, смартфоны и интеллектуальные колонки.
По данным Transforma Insights, исследовательской компании по цифровой трансформации, в конце 2019 года в мире было 7,6 миллиарда активных устройств Интернета вещей, а к 2030 году их будет 24,1 миллиарда .
Плюшевые мишки тоже подключены к Интернету?
Безусловно, побуждаемые необходимостью работы на дому в 2020 году, люди подключили к своим корпоративным сетям множество некоммерческих устройств. Некоторые из них предсказуемы, а другие могут вызывать удивление и улыбку. Например, плюшевые мишки и другие игрушки, спортивное оборудование, такое как тренажеры, игровые устройства и автомобили, согласно отчету международной компании Palo Alto Networks по безопасности Интернета вещей за 2020 год.
Растущее количество и разнообразие устройств, подключенных к сетям IoT, постепенно усложняют реализацию кибербезопасности, поскольку каждое устройство является потенциальным слабым местом.
Например, можно взломать большое количество подключенных автомобилей, чтобы закрыть города, вызвав затор.
Умные дома и даже целые города могут быть взломаны посредством проникновения в автоматизированные системы, управляющие системами отопления, вентиляции и кондиционирования, пожарной сигнализацией и другой важной инфраструктурой.
Сообщается, что киберпреступники проникали в дома через различные интелектуальные устройства, например, умные термостаты, чтобы терроризировать семьи, дистанционно включая отопление; или несанкционированный доступ к домашним камерам видеонаблюдения и умным колонкам, подключенным к Интернету.
Последствия взлома, вероятно, будут наиболее серьезными в сфере здравоохранения, где отказ оборудования или потеря контроля над ним представляют опасность для жизни.
«Подключенные медицинские устройства — от инфузионных насосов с поддержкой Wi-Fi до интеллектуальных машин МРТ — увеличивают площадь атак на устройства, обменивающихся информацией, и создают проблемы безопасности, включая риски конфиденциальности и возможное нарушение правил защиты данных», — пишет Анастасиос Арампацис, представитель поставщика средств безопасности Tripwire.
За кибербезопасность в IoT отвечают руководители
Итак, кто будет отвечать за кибербезопасность в сети IoT? Продавцы индивидуальной техники или оборудования? Тот, кто владеет или управляет сетью? Компания или организация, использующие сеть IoT?
Глобальная исследовательская и консалтинговая компания Gartner прогнозирует, что к 2024 году 75% руководителей будут нести персональную ответственность за атаки на то, что Gartner называет киберфизическими системами (CPS).
Gartner определяет CPS как «системы, которые спроектированы для координации измерений, вычислений, управления, сетей и аналитики для взаимодействия с физическим миром, включая людей».
Эти системы «лежат в основе всех подключенных ИТ, операционных технологий (OT) и Интернета вещей (IoT), где решения по безопасности охватывают как кибернетический, так и физический мир, такой как ресурсоемкие, критически важные инфраструктуры и среды клинического здравоохранения».
OT состоит из аппаратного и программного обеспечения, которое обнаруживает или вызывает изменения в промышленном оборудовании, активах, процессах и событиях посредством прямого мониторинга и/или контроля.
Другими словами, к 2024 году 75% руководителей могут нести ответственность за сбои в безопасности Интернета вещей.
Почему генеральные директора? Как написала вице-президент по исследованиям Gartner Кателл Тилеманн, регулирующие органы и правительства резко ужесточат правила и нормы, регулирующие CPS в ответ на рост серьезных инцидентов, возникающих из-за неспособности защитить CPS. «Скоро генеральные директора не смогут сослаться на незнание или прятаться за страховыми полисами».
Привлечение генеральных директоров к ответственности «является вполне вероятной возможностью и согласуется с тем, как они несут ответственность за точность и законность своих финансовых операций», — говорит Перри Карпентер, директор по стратегии на тренинге по вопросам безопасности KnowBe4.
Национальная ассоциация корпоративных директоров (NACD) «понимает, что безопасность IoT, а в более широком смысле, кибербезопасность, должны быть проблемой, которая поднимается даже до уровня Совета директоров», — сказал Карпентер.
Компании могут покупать киберстрахование, но полисы киберстрахования «печально известны тем, что не выплачивают страховые выплаты, если компания не соответствует высоким стандартам безопасности», — отметил Карпентер.
Кроме того, «регулирующие органы не будут торопиться предлагать легкие выходы для руководителей и компаний, которые могут проявить явную халатность».
Возможен ли подход, основанный на оценке риска?
Глобальная консалтинговая компания McKinsey&Co обнаружила, что предприятия стремятся принять подход к кибербезопасности, основанный на оценке рисков, но он не может обеспечить общую защиту руководителей.
Подходы к информационной безопасности, основанные на оценке рисков, позволяют организациям применять стратегии, адаптированные к их уникальной операционной среде, ландшафту угроз и бизнес-целям, согласно CDW, которая предоставляет технологические решения для бизнеса, правительства, образования и здравоохранения в США, Великобритании и Канаде.
Они позволяют пользователям «понять влияние действий по снижению рисков, обеспечивая всестороннее представление о рисках и заполняя пробелы, которые могут быть в альтернативных подходах к безопасности. Использование подхода, основанного на оценке рисков, четко вписывается в стратегии управления рисками предприятия (ERM), что приемлимо для большинства организаций».
Широко признано, что полностью защищенной системы не существует, так что не будет ли правльным решением возлагать ответственность на генерального директора за отказ CPS?
«Дело не в 100% защите, — сказал Карпентер, — а в том, чтобы обеспечить должную осторожность при проектировании систем. Руководители не могут просто разводить руками и использовать [тот факт, что 100% безопасности не существует] в качестве оправдания, они должны строить стратегию с учетом безопасности и устойчивости».
Как сделать сети Интернета вещей более безопасными
Palo Alto Networks рекомендует следующие шаги для защиты сетей IoT:
- Используйте обнаружение устройств, чтобы получить подробную и актуальную инвентаризацию количества и типов устройств, подключенных к вашей сети IoT, их профилей риска и их доверенного поведения;
- Сегментируйте свою сеть, чтобы устройства Интернета вещей находились в их собственных строго контролируемых зонах безопасности, отделяя их от IT-активов;
- Принять методы защиты паролей, заменив пароль по умолчанию для вновь подключенных устройств IoT на безопасные, соответствующие корпоративным политикам пароли;
- Продолжайте исправлять и обновлять прошивку, когда это возможно;
- Активно отслеживайте устройства IoT в любое время.
«Защита сетей IoT требует сочетания покупки продуктов, которые являются безопасными по своей конструкции, и применения целостного подхода к безопасности», — заявила Андреа Каркано, соучредитель операционных технологий (OT) и фирмы по обеспечению безопасности Интернета вещей Nozomi Networks.
«IT-специалисты больше не могут просто беспокоиться о безопасности и возможности подключения своих IT-сетей, — сказал Каркано. «Теперь они должны думать о безопасности своих кибер и физических систем».
По материалам: Technewsworld