Пока «интеллект вещей» может показаться фантазией футуриста. Однако, технологии развиваются так активно, что уже через пять лет наверняка будет сложно купить не «умное» устройство, а самое обычное, без расширенной функциональности. Ericsson прогнозирует, что число IoT-устройств (IoT — Internet of Things, Интернет вещей) обойдет количество мобильных телефонов к 2018 году. К концу 2021 года из 28 млрд подключенных к Глобальной сети устройств 16 млрд будут приходиться на IoT-устройства.
Оборудование для умного дома и носимые вещи с расширенной функциональностью – это не весь мир IoT, а лишь малая часть. Такие технологии используются и на производствах, и на транспорте, и в складских помещениях, и в электрических сетях. Они уже повсюду, буквально окружают нас. При этом, важным и нерешенным остается вопрос безопасности. Разговоры про ботнеты из видеокамер за последний год уже успели надоесть всем, но это только начало, если не предпринять мер и не направить индустрию по правильному пути. В чем же проблема и почему Интернет вещей тотально уязвим для атак злоумышленников?
Что думают вендоры?
Подавляющее большинство вендоров IoT сегодня не считает безопасность устройств серьезной проблемой. В их числе – и производители систем, связанных с жизнью человека (автомобили), а также разработчики решений для производства и других критичных систем. Исследователи постоянно говорят о наличии уязвимостей в промышленных роботах и протоколах, эксплуатация которых может привести к авариям и остановке производств, но не заметно, чтобы это как-то серьезно волновало игроков промышленной отрасли.
То же касается и устройств, неисправности в которых могут повлечь за собой ущерб жизни и здоровью человека. Так, в июле 2017 года специалисты IOActive рассказали об уязвимостях в гироскутерах. Оказалось, что подключиться к устройству Ninebot Segway miniPRO посредством Bluetooth может кто угодно, так как PIN-код по умолчанию это 000000. Далее, можно загрузить вредоносную прошивку на гироскутер, которая позволит удаленно управлять им (заставить резко затормозить, изменить траекторию движения и т.д.). Такие действия могут нанести ущерб не только здоровью, но и жизни человека.
Получается, что большая часть производителей умных решений понимает, что безопасность — это долгий, сложный и дорогой процесс, и не хочет тратить на него свои ресурсы. Они рассуждают примерно так: пока продажи идут хорошо, будем продолжать «нашпиговывать» технику функционалом, а уж потом как-нибудь разберемся, попробуем переложить проблемы на специализированных ИБ-вендоров и постепенно начнем заниматься исправлением уязвимостей. Это типовая ИТ-логика – именно по этому пути шел весь мировой рынок высоких технологий с начала 90-х. Именно так поступали разработчики ИТ-решений в свое время. Оно и неудивительно, ведь на растущих рынках так быстро приобретаются большие капиталы. Мировой сфере IoT аналитики Gartner предрекают увеличение объема до $300 млрд в 2020 году. Российский рынок, по прогнозу J’son & Partners, достигнет отметки в $980 млн через три года. Аналитики Bain дают еще более смелые цифры. По их мнению, к 2020 году объем мирового рынка IoT вырастет до $470 млрд. Учитывая, что расходы на ИБ обычно составляют около 3-5%%, получается, что данный сегмент может составить $15-20 млрд.
Однако, сейчас не девяностые и даже не начало двухтысячных, а Интернет вещей нельзя приравнять к классическим ИТ. Поэтому вряд ли участникам рынка удастся так просто наладить бизнес, забыв о насущной проблеме безопасности и необходимости расходов на эту сферу.
Вещь или Софт?
Краеугольный камень индустрии Интернета вещей состоит в понимании того, какая сущность современного устройства для повседневной жизни преобладает: «вещественная» или программная? Ведь за каждой стоят совершенно разные индустрии, и для того, чтобы понять, кто и как должен отвечать за уязвимости, важно определиться с зонами ответственности. В товарном мире в случае поломки существует гарантия и возврат товара; мир ПО живет по принципу «покупай как есть», прописанному в лицензии на софт. Можно ли представить ситуацию, когда производитель утюга допустил бы электрический пробой на корпус или оголенные электрические провода, а в случае инцидента индифферентно заметил, что «это не баг, а фича, но да, исправим, через годик, может быть»? Конечно, это нонсенс. Между тем, производители софта в большинстве своем поступают именно так.
Особенно страшно и неприятно, что под угрозой может оказаться самая чувствительная категория пользователей – дети. Например, в Германии недавно запретили продажи кукол Cayla и роботов i-Que производства Genesis Toys, поскольку они могут «шпионить» за детьми при помощи встроенных камер и микрофонов. Такие устройства легко взломать, а значит злоумышленники могут запросто получить доступ к информации о местоположении и передвижениях ребенка, а также разговаривать с детьми устами роботов.
Кто победит?
Безусловно, ИТ-индустрия, исповедующая принцип «покупай как есть», способна быстро «развратить» обычных производителей. Соблазн получать деньги, забыв об ответственности, слишком велик. Порядок могут помочь навести регуляторы, которые обяжут производителей жить по определённым стандартам, руководствуясь, как минимум, тем, что умные вещи представляют собой серьезную общественную опасность.
Прекрасно известно, что умная вещь может войти в состав бот-сети, участвовать в массовых таргетированных атаках, например. В таком случае, речь уже пойдет не только о безопасности одного человека или одной семьи. Кроме того, легко можно представить, что может произойти, если на вопросы ИБ продолжат смотреть сквозь пальцы разработчики решений для электросетей или производств.
Что делать, или Ложный союзник?
Второй, классический ИТ-путь, не выгоден ни обществу (опасно), ни производителям вещей для повседневного обихода (репутация), но его, по мнению автора, поддерживает крайне могущественный лоббист в лице антивирусных компаний, которые являются самыми состоятельными в индустрии ИБ. Они очень рассчитывают на то, что отрасль пойдет по привычному им ИТ-пути и тогда они переложат все проблемы с умными устройствами на пользователей, заставив их купить антивирус для каждой микроволновки — ведь привыкли же мы к тому, что компьютеры непременно надо защищать при помощи специального ПО.
Еще два года назад компания Webroot выпустила набор инструментов для обеспечения безопасности IoT-девайсов, а сейчас крупные антивирусные компании, включая ЛК, Avast и других уже вовсю предлагают решения для умных автомобилей и домов. Однако есть другой путь, ведь покупается прежде всего полезная в обиходе вещь/надежное оборудование, а не софт.
Выход есть
На самом деле, производителям умных вещей тоже крайне сложно принимать судьбоносные решения, и они могут попытаться пойти по ИТ-пути, рискнув репутацией, ведь в ИТ «так принято». Выбрать классическую схему построения процесса безопасной разработки – дорого, сложно и для умных вещей вряд ли оправданно. Однако, полагаю, уже сейчас существуют технологии, которые позволяют именно для IoT-решений справиться с этой проблемой, то есть сделать так, чтобы сами устройства были практически на 100% безопасны. Уже существуют стартапы, продвигающие подобные технологии, например, Embedi. Да, программное обеспечение прошивки может и будет обладать массой различных опасных уязвимостей, но злоумышленник просто не сможет их реализовать – его эксплойт не сработает. Технология «антиэксплойт» заключается в случайном перемешивании кода в памяти при загрузке прошивки, таким образом эксплойт в принципе не сможет сработать.
Причем удастся избежать даже таких одиозных проблем безопасности, как дефолтный пароль или уязвимости веб-оболочки. Все эти защитные технологии, в корне меняющие мир безопасности Интернета вещей, уже созданы и готовы к применению вендорами на финальном этапе сборки прошивки. При этом, они не только решат проблему с ИБ умных устройств, но и не будут расходовать значительных средств на безопасную разработку. Жаль, что это невозможно в мире ИТ, но совершенно реально в мире Интернета вещей.