ІоТ, Україна та кібербезпека. Чим захищатися папірцями, чи людьми….
На вихідних, накрапав «невелике» ессе щодо безпеки #IoT (інтернет речей). Думки які нахлинули, були завдяки славнозвісному проекту закону #ЗП6688 який знову випливе восени у верховній раді.
Так от для тих єХспертів писак, рекомендую свій матеріал для розуміння майбутнього. Тексту якось вийшло багато…
Справа у тому, що якщо вже і приймати щось по тематики з кібербезпеки то потрібно розуміти майбутні тренди з кібератак на років 10-ть уперед, а то і 20ть наперед.
Тому що на виході отримаємо закон який буде як закон про телекомунікації. Якому вже 20-ть років, який вже як трухлявий пінь, розвалився, а його все иЗолентою обмотують..
Згадав знайомого який скотчем ремонтував унітаз, хоча всі казали щоб викинув, таки поки він з нього не гепнувся та чуть не вбився, тоді тільки дійшло, що треба купити новий «прилад» :).
І так, що ми знаємо про кібератаки у просторі інтернет речей? Хоча можливо багато взагалі не знають, що таке термін інтернет речей…
Для того щоб не заглиблюватися у тонкощі типів кібератак, я окреслю їх як атаки на програмне забезпечення, або інтернет сайт установ, користувачів, та атаки на апаратні мережеві пристрої. Це все є , про це вже писали, тому ми пишемо про філософію атак на ІоТ.
IoT (інтернет речей) це новий технічно-економічний прорив у світі, у повному сенсі цього слова, який зачепить всі аспекти нашого життя, від побутових приладів, до промислових, медицини, місцевих або міських рішень, і.т.д.
От же основна ідея та концепція Інтернету речей полягає у тому, що всі прилади або сенсори, що нас оточують, ми можемо підключити до мережі Інтернет. Та оцифрувати всю інформацію з них, та передати у реальному часі, послідовно інтегрувавши її у мережу Інтернет. Щоб у подальшому отриману миттєву інформацію від всіх приладів використовувати інформацію у необхідних нам цілях, та єкосистемах принйняття рішень.
Очікується, що вибухове зростання кількості облаштувань IoT продовжиться; тому, такі рішення, мають бути пов'язані із захистом кібербезпеки", — сказав Мо Катибе, старший віце-президент AT & T Advanced Solutions. "Сьогоднішні компанії об'єднують пристрої, починаючи від роботів на фабричних поверхах і закінчуючи кардіостимуляторами, холодильниками, кавоварками,і.т.д.
Для захисту цих організаційних систем, потрібно впроваджувати інновацію з безпеки в усій екосистемі IoT, щоб забезпечити безпечне та стійке зростання, ринку інтернет речей ІоТ.
Будь то підключений автомобіль, кардіостимулятор або кавоварка, кожен підключений пристрій є потенційною новою точкою входу для кибератак", — сказав головний охоронець AT & T Біл О'Херн. "Проте, для кожного пристрою потрібно дуже різні міркування безпеки».
Деякі з видатних технологічних гігантів у світі мають намір об'єднати зусилля для інновацій в області кібербезпеки IoT.
AT & T, IBM, Nokia Palo Alto Networks, Symantec і Trustonic зібралися разом для запуску Альянсу по кібербезпеці IoT. Щоб потім інформувати про засоби кращого захисту екосистеми IoT.
До речі це меседж іншим виробникам залучатися, в іншому випадку саме ці компанії можуть потім монополізувати цю тематику.
Для лідерів галузі і новаторів, таких як члени засновників цього Альянсу, важливо, щоб вони працювали разом, щоб допомогти галузі знайти більше цілісні підходи до забезпечення безпеки для IoT. https://www.iotca.org/
Тепер давайте спробуємо ввести питання монетизація ризику, або драматичність ризику, від кібератак на рішення ІоТ.
Та поверхнево порівняємо, вплив наприклад на якийсь сайт або мережевий прилад.
Для більшого розуміння давайте подивимось на деякі причини щодо наявності жахливої безпеки у середовищі ІоТ.
Так сталось, що для того, щоб мене розуміли, я посилаюсь на приклади з досвіду реалізованих проектів.
За приклад давайте візьмемо підприємство з ознаками техногенності. Наприклад фекальну станцію яка перекачує відповідну рідину між якимось цистернами які між собою пов’язані якимось трубами високого тиску, для перекачки по них цієї рідини (до речі це робочий кейс).
На всіх відповідних цистернах стоїть наприклад якийсь клапан який керує відкриттям закриттям крану скиду фекалій з цистерни. Керування відбувається завдяки контролеру та команди яка йде від сенсору виміру тиску у середині вказаної цистерни. це все пов’язано у єдину мережу та керується завдяки інтелектуального середовища яке знаходиться десь у хмарах.
Або наприклад це велика клініка з пацієнтами до яких підключені мобільні сенсори які збирають біометричні показники пацієнтів та передають на пульт прийняття рішення медичним персоналом у якому стані пацієнт, або можливо також можуть якось інформують пацієнта, наприклад що потрібно відкрити якийсь дренаж. І весь цей сегмент ІоТ працює у комплексному смарт рішенні медичного закладу, або можливо закладів які територіально розрізнені, та пов’язані завдяки Інтернет мережі.
https://www.aparaturamedyczna.com.pl/…/zdalne-wsparcie-kard…
З досвіду, більшість співробітників служби безпеки у виробництві турбуються та забороняють, співробітникам підприємства використовувати USB накопичувачі в машинах підприємства, тому що вони можуть бути заражені, а адміністратори у лікарнях побоюються, що шкідливе ПЗ знищить наприклад МРТ-машину або що хакер направить інфузійний насос для введення смертельної дози ліків хворому. Тому у лікарнях таки прилади працюють за схемою офф лайн, таке рішення має свої переваги, але не у сучасному світі, де практично зникає людська праця.
Підключення фізичної інфраструктури ІоТ (а вказані приклади, це все саме сенсори фізичної інфраструктури) до Інтернету робить всю систему у комплексі уразливою для нових загроз з точки зору кібербезпеки.
Таким чином, тепер безпека IoT — це особливе завдання захисту, так як хакери-лиходії відрізняються від тих, що ми бачили раніше, бо ставки підвищуються, і вони це розуміють.
Це більше не хакери-одинаки, що намагаються заробити гроші або завдавати шкоди для піару. Це можуть бути цілі корпорації, які можуть (у тому числі) підтримуватися державами, що призводить до думок про наявність справжнісінькіх кибер-войнах.
Що робить Інтернет речей (IoT) відмінним від традиційного Інтернету? Це до речі меседж для тих, хто штовхає той пасквіль 6688, може мені прояснять як би вони його натягнули на захист ІоТ?
По перше це люди, яких не буде у процесі керування. IoT не покладається на втручання людини, щоб функціонувати. Це технологія м2м (як ту машину законом обуздати :)), хоча може прописати у законі термін машинні війни, це жарт.
За допомогою IoT датчики збирають, повідомляють, аналізують і впливають на інформацію, пропонуючи нові способи для бізнесу в області технологій, засобів масової інформації і телекомунікацій створювати цінність — будь то створення абсолютно нових підприємств і потоків доходів або надання ефективнішого досвіду для споживачів. Тобто для писак, тут не буде людини, від слова взагалі!
Наслідки злому IoT може бути драматичніша, аніж злом сайту у вебі. Ну зламають сайт, що призведе просто до інформаційного простою, агресії, або спаплюження інформації, або блокування інформації, яку суспільство отримувало з сайту. По суті це не критично, і не буде мати тих трагічних наслідків аніж зупинка якоїсь екосистеми ІоТ наприклад у медичній сфері.
Впливання на IoT- системи може привести до фізичної загрозливої дії на реальність середовища де знаходиться ІоТ система, або навіть до людських жертв.
Якщо вразити ІоТ прилади на цистерні з фекаліями, це призведе до викидів нечистот у середовище, можлива екологічна катастрофа, або у разі вразливості медичних сенсорів, призведе до гибелі пацієнтів. Тобто з точку зору ризик менеджменту, такий вплив більш трагічний аніж скажемо вплив на інформаційні ресурси.
Наприклад я знаю атаки які відбулися на технологічні прилади, саме тому, що виробник призупинив підтримку цих технічних приладів. Це до речі на наших енерго компаніях вже спробували, зловмисники.
Тому термін щодо підтримки вирбником для різних компонентів IoT- систем повинен бути актуальним і комплексним. Ті хто буде будувати такі мережі повинен аналізувати не тільки технічні моменти, ай враховувати гарантований час підтримки таких приладів. Якщо буде виявлено вразливість, ви повинні призупинити роботу сенсорів ІоТ, на час поки вендор не дасть оновлене програмне забезпечення, а це ваші вже фінансові ризики.
Також, це сильно ускладнює підтримку загальної системи в актуально-безпечному стані.
Різні компоненти IoT- систем мають різний економічний сенс. Це теж сильно впливає на підтримку комплексної безпеки. Наприклад, за час життєвого циклу вендор-постачальник якогось компонента може просто піти з ринку, знову маємо фінансовий ризик.
А якщо ми кажемо про ІоТ на промисловості, то там не так просто буде змінити прилад керування чимсь, або знайти новий прилад який по функціоналу замінить попередній прилад але вже буде мати більші ступені захисту від виробника та саме головне підтримуватися виробником. По суті це зупинка підприємства, зміна технологічних карток, і.т.д.
Оскільки система має багато компонентів, підтримку безпеки такої системи робити складніше, бо вірогідність знаходження "дір" знижується, а страждає уся система цілком. Це потягне збільшення штату обслуговування.
Ще один з ризиків майбутнього. Оскільки IoT- системи можуть використовуватися в місцях, де просто немає "менеджера по ІТ-безпеці", то в цілому системи з часом стають більше уразливими. З таких систем у подальшому буде сформовано інкубатор вразливості. До речі, як на такі не телеком підприємства розповсюдити норми з 6688, не кажучи вже про пересічних громадян?
Джош Корман (Josh Corman), головний співробітник служби безпеки PTC, комп'ютерна фірма, заснована в Массачусетсі, кодифікувала шість причин, по яких безпека для Internet of Things(IoT) відрізняється від і складніше, ніж для традиційної ІТ-безпеки.
https://www.iamthecavalry.org/iotdifferences/amp/
Все ж таки наслідки невдач від кібератак вони важче. Ідучи шляхом технологічного прогресу, ми самі підвищили ставки вразливості від кібератак, шляхом підключення більшої кількості фізичних систем і засобів до кінцевих смартсистем.
Коли машини або прилади можуть бути зламані, а люди можуть померти, від такого впливу.
Наприклад Stuxnet, вірус, який збив іранські центрифуги в 2010 році
https://spectrum.ieee.org/…/secur…/the-real-story-of-stuxnet може бути самим раннім прикладом.
Потім в серпні 2017 року на саудівському хімічному заводі був зламаний, призначений для вибуху і руйнування нафтохімічного виробництва.
https://www.nytimes.com/…/saudi-arabia-hacks-cyberattacks.h…
Експерти вважають, що напад був спонсорований державою і призначений для відправки політичного попередження.
Як правило екосистема смарт виробництва будується з різних ІоТ приладів, різних виробників, які мають різне програмне забезпечення. Коли ви з цього пазлу збираєте вже систему, ви повинні розуміти, що у вашій системі кожний окремий пристрій ІоТ може мати слабкі місця до кібератаки, і кожний може бути діркою для атаки та віконцем потрапляння в загальну систему.
Тобто, для створення уразливості потрібно тільки один слабкий зв'язок, тому, якщо компанія, що створила телематическую систему, не оновлює своє програмне забезпечення, не працює з одним двома виробниками, вся система стає уразливим.
У ІТ-світу суспільстві є аналогічне завдання з дотримання норм безпеки, але за роки спільної роботи виробники домовилися про системи, щоб все було виправлено.
Ще одне, всі телеметричні пристрої ІоТ живуть в своїх середовищах, на відміну від будь-якої ІТ-систем. Це до речі відноситься і до транспортного середовища, будь то стандарти #LoRaWAN, #NB-IoT.
Якщо казати про побутові рішення то у будинку немає ІТ-менеджера, щоб накладати патчи (оновлення програмного забезпечення) на підключений холодильник, або інший побутовий прилад який підключено до мережі Інтернет. А ці прилади вже можуть бути атаковані, та стати частиною майбутнього пристрою кібератак.
І в промислових умовах, виведення з ладу однієї машини може привести до того, що вона перестане працювати з іншим устаткуванням на лінії. Тут ризик злому саме машини, може здатися низьким в порівнянні з ризиком коли припнеться увесь процес, який дає сотні тисяч доларів доходу в день.
Давайте згадаємо приклад коли хакерам вдалося проникнути в локальну мережу казино і скопіювати базу даних VIP- гравців які грають на високих ставках. Ця база складає комерційну таємницю і має виняткову цінність для конкурентів. Можливо, операцію замовили як раз-таки конкуренти, щоб переманити до себе найбагатших клієнтів. Зловмисники отримали доступ в мережу через безпровідний термостат, встановлений в акваріумі на вході в казино. "Нападаючі використали це, щоб закріпитися в системі, — сказала Ніколь Іган.
https://www.businessinsider.de/hackers-stole-a-casinos-data…
Чому обрали саме прилади ІоТ, для такої атаки? Тому що більшість хакерів розуміють, що проникнути у захищену мережу шляхом підбору паролю/логіну, можливо якісь електронні листи з закладними програмами вразливості (трояни), скан портів, та інше, вже досить важко.
Так ці методи колись були ефективні для таргетованих атак, але у минулому.
Проблема в тому, що комп'ютерна інфраструктура готова до відбивання саме таких атак. Відділи безпеки давно впровадили авторизацію через криптографічні токены, тому навіть пароль адміністратора вам нічого не дасть, побудовано багато фаєрволів, та інших елементів захисту, а от про ІоТ забули…
Так це дійсно є правда, саме тому, що адміністратор не зрозумів, що через ІоТ з’являється фізично ще один інтерфейс входу у систему. Як правило це бездротові інтерфейси. Треба бути уважними, проаналізуйте свої мережі.
Щоб ви розуміли проблематику, я приведу тільки одну цифру. Станом на 2020 рік буде приблизно 20 мільярдів ІоТ підключених пристроїв, до мережі Інтернет.
https://www.zdnet.com/…/iot-devices-will-outnumber-the-wor…/
Яку атаку чекати у майбутньому?
Експерти по кібербезпеці про анонсували виявлену нову модифікацію вірусу #Mirai, який не лише використовує уразливості пристроїв з інтернету речей, але і перетворює такі гаджети на проксі-сервер, та формує мережу для DDoS атак. Це дозволило хакерам пропустити через заражені девайси шкідливий трафік і збільшити потужність атак.
https://www.csoonline.com/…/the-mirai-botnet-explained-how-…
Майже півмільйона кардіостимуляторів було видкликано Управлінням по контролю за продуктами і ліками США (FDA) із-за побоювань, що їх слабку кібербезпеку можна зламати, щоб розрядити батареї або навіть змінити пульс пацієнта.
https://www.theguardian.com/…/hacking-risk-recall-pacemaker…
У ІоТ-світі існує ціла індустрія програмного забезпечення для управління життєвим циклом, але чи всі ці прилади настільки безпечні, та наскільки виробники відслідковують вразливості своїх приладів та оновлюють баги? Тут порада відслідковувати інформаційні ресурси виробника, щоб розуміти його професійність.
Резюмуючи хотілось відмітити, що хоча ці пристрої, поза сумнівом, покращують як наше життя, так і бізнес, але у багатьох відношеннях, забезпечення цієї величезної кількості пристроїв стане однією з наших найбільших проблем з 2018 році, у світі.
Нам потрібно вже сьогодні бути технічно готовими до роботи у таких мережах. Все більше людей приймають IoT як реальність сучасного життя і робочого місця.
Нам у першу чергу потрібні правила, необхідні для забезпечення безпеки компаній, а не чекати, щоб випадковість була правилом.
https://www.owasp.org/ind…/OWASP_Internet_of_Things_Project…
Не нехтуйте співпрацювати з практиками щодо кібер-гігієни, елементарне управління ідентифікацією може допомогти, оскільки кожен пристрій має ідентифікатор, створюючи трибічну довіру між пристроєм, користувачем і додатком, ми можемо різко зменшити поверхню атаки, і так далі. Сподіваюсь, що нашим «богам» вистачить розуму не створювати ще реєстр і для ІоТ приладів.
Щодо законодавства по ІоТ у інших країнах світу? Сполучені Штати Америки вже почали перейматися цим питанням.
https://www.networkworld.com/…/can-the-us-senate-secure-the…
Закон про підвищення рівня кібербезпеки 2017 року, сподівається посилити інтернет-безпеку Америки. Законопроект підкреслює величезну складність IoT і величезні вигоди, які він надає американській економіці, але також відмічає і уразливість системи до зовнішніх атак.
https://www.warner.senate.gov/…/8061BCEEBF4300EC702B4E89424…
Суть законопроекту полягає у тому, що він змусить компанії, які продають пристрої, підключені до Інтернету, уряду США, робити більше для забезпечення кібербезпеки вказаних пристроїв. Постачальники будуть повинні гарантувати уряду, що будь-які гаджети, які вони продають дядькові Сему, вже є патчиними, не містять уразливість і не містять жорстко закодованих паролів серед інших заходів, та буде передана вся технічна документація та коди.
Це до речі на мій погляд приведе до значного зменшення імпорту якихось пристроїв до США. З тим же ZTE ми бачимо таку тенденцію.
Що мене особисто заспокоює? Це тільки те, що у світі IoT Україна поки не знаходиться.
Відокремлені приклади розумних будинків, у подальшому при відсутності кібер-гігієни можуть бути ризиком тільки для локальних власників цих будинків, але якщо їх потім поєднати у мережі, та підключать до аналітики, через мережу Інтернет, то…
Будемо сподіватися коли Україна прийде до глобальної ІоТ проникнення в країні, то більшість країн світу буде вже мати досвід щодо практичних кейсів з безпеки по ІоТ.
П.С. Прочитавши увесь тест, зрозумів, що можливо було взагалі написати декількома реченнями 🙂
Не купуйте те щ о не перевірено електронікою, не суйте шо попало у розетку, то формуйте новий склад фахівців по ІоТ безпеці.
П.С.2 А для того, щоб такі закони та інші розповсюджувалися на машини, потрібно їх також тоді признати частиною суспільства. Звучить десь навіть бредово, але давайте до цього повернемося десь років через 20-ть
Источник: facebook.com