Как обеспечить безопасность промышленного интернета вещей

Устройства интернета вещей – это все устройства, которые имеют любую операционную систему, пусть даже самую простейшую, и могут каким-либо образом получать, обрабатывать и передавать разного рода информацию. На бытовом уровне речь идет о системах «умного дома» или камерах видеонаблюдения, однако интернет вещей постепенно распространяется и в городском хозяйстве, позволяя удаленно снимать показания счетчиков или, например, управлять сетью светофоров.

Отдельного разговора заслуживает применение интернета вещей в промышленности. Именно IoT стал одним из главных драйверов процесса цифровизации производств, которое еще называют переходом к Индустрии 4.0. Новый технологический скачок способен решить ряд важнейших задач: повышение производительности оборудования, снижение материальных и энергетических затрат, повышение качества, рентабельности производства и конкурентоспособности. Однако на пути цифровизации есть одно неприятное препятствие — уязвимость интернета вещей к кибератакам.

Почему важно защищать промышленный IoT

Любое устройство, подключенное к интернету, может подвергнуться хакерским атакам. Дело только в масштабе последствий.

Злоумышленники могут подключаться к плохо защищенным сетевым камерам — пострадает приватность. Как минимум. А утечка конфиденциальных данных может обернуться финансовыми потерями. Известен случай, когда из локальной сети казино была похищена ценная база данных. Преступники проникли в нее, использовав в качестве точки входа беспроводной термостат в аквариуме, стоявшем в игорном заведении.

Последствия атак на промышленный интернет вещей могут быть гораздо серьезнее. Информационные системы предприятий становятся киберфизическими, то есть имеющими выход в реальный мир. Злоумышленник может получить контроль над системами, управляющими реальными объектами — насосами, реле, двигателями и т.д. В лучшем случае последствием станет снижение производительности, а в худшем — авария на производстве.

Потери от простоя ключевой технологической установки типового нефтеперерабатывающего завода могут составлять миллион долларов в сутки.

Проблема заключается еще и в том, что промышленный IoT — заманчивая цель. Взломав корпоративную сеть через уязвимости в интернете вещей, у больших компаний можно вымогать серьезные деньги. У всех наверняка на слуху прошлогодний случай с атакой на американского оператора трубопровода Colonial Pipeline. Из-за срыва поставок топлива в нескольких штатах даже был объявлен режим чрезвычайной ситуации. По слухам, за разблокировку оборудования Colonial Pipeline выплатила шантажистам $5 млн.

И при всех возможных последствиях IoT остается «дырявым», то есть уязвимым к кибератакам. Более того, его в принципе не всегда можно обезопасить от сетевых угроз.

В чем проблема

Дело в том, что из-за особенностей развития технологии устройства IoT оказались гораздо более слабо защищены от атак, чем, например, ваш ноутбук. Произошло это по многим причинам. Большинство IoT-вендоров практически игнорирует вопросы информационной безопасности устройств интернета вещей, потому что это бывает дороже, чем само их производство — и требует системного подхода. IoT-девайсам не хватает стандартизированных интерфейсов и систем управления, а значит, и универсальную политику безопасности для них разработать практически невозможно.

IoT-устройства зачастую разрабатываются без учета требований безопасности, в отличие от устройств, предназначенных для работы в знакомых нам операционных системах вроде Android. Сейчас на вполне современных производствах стоит оборудование, которое создавалось 10-30 лет назад. Соответствующий возраст и у софта, на котором оно работает. И часто оно проектировалось без учета того, что когда-нибудь устройства будут подключаться к онлайн-платформам.

Кроме того, из-за ограничений по производительности многие IoT-устройства невозможно оснастить наложенными средствами безопасности, такими как антивирусы или файерволы.

Серьезные опасения вызывает использование на IoT-устройствах операционных систем общего назначения. Множество компьютеров, управляющих устройствами интернета вещей, работают под управлением считающейся безопасной Linux. Однако из-за огромной кодовой базы такие системы не защищены от ошибок и наличия недокументированных функций. К тому же что в Windows, что в Linux программы работают в едином адресном пространстве — использовав уязвимость в одной из них, можно получить доступ ко всей системе.

Таким образом, давно назревала необходимость нового подхода к защите IoT.

Что именно защищать в IoT

Многочисленное оборудование, станки и сенсоры в составе промышленного интернета вещей не могут напрямую передавать данные в IT-инфраструктуру. Информацию с них собирают шлюзы. Они преобразуют данные в специфических форматах для передачи по Ethernet или сотовым сетям. В «Лаборатории Касперского» проанализировали возможные векторы атак на IoT и выяснили, что именно шлюз данных является критичным с точки зрения безопасности, а также слабо защищенным звеном. Он может служить для злоумышленников точкой входа в корпоративную и операционную сети предприятия.

Для защиты уровней облака и управления IoT существуют традиционные решения. Это такие продукты, как Kaspersky Security для виртуальных и облачных сред, Kaspersky Security Center, Kaspersky DDoS Prevention и подобные от других производителей. Уровнем ниже находятся шлюзы, каналы передачи данных и само IoT-оборудование. Чтобы на этом уровне обеспечить защиту от перехвата трафика техниками типа MITM, атак на устройства, к которым организован доступ снаружи, и от несанкционированных новых подключений, требуются решения специализированные.

Новый подход к кибербезопасности

Запущенный 45 лет назад космический аппарат «Вояджер-2» покинул пределы Солнечной системы и все еще продолжает присылать научные данные. Такая беспрецедентная надежность стала возможной благодаря тому, что при проектировании зонда инженеры следовали принципу «Все, что может сломаться — сломается, но это не должно привести к провалу миссии». Надежность и безотказность работы были заложены в саму архитектуру аппарата.

Похожему принципу следовали в «Лаборатории Касперского» при создании IoT-шлюзов, защищенных от кибератак. Он гласит: все, что может быть сломано, будет сломано, но это не должно повлиять на конечную безопасность. То есть шлюзы являются кибериммунными.

Купить можно два исходно безопасных шлюза: Kaspersky IoT Secure Gateway 100 (KISG 100) и Kaspersky IoT Secure Gateway 1000 (KISG 1000). Оба устройства работают под управлением специализированной операционной системы KasperskyOS.

Эта система была полностью разработана с нуля «Лабораторией Касперского». В основе ее лежит микроядро. В отличие от систем общего назначения, в так называемых монолитных ядрах которых насчитывается миллионы строк кода, в KasperskyOS их всего несколько десятков тысяч. Такое компактное ядро не только обеспечивает небольшую поверхность атак, но и позволяет провести максимально полную верификацию кода.

Все прикладные программные компоненты в системе изолированы друг от друга. Даже если они содержат уязвимости или вредоносный код, система в любом случае остается безопасной. Взаимодействуют друг с другом компоненты только через подсистему Kaspersky Security System. Она запрещает или разрешает коммуникации, руководствуясь политиками безопасности, которые – и это тоже ноу-хау – могут быть гораздо более сложными, чем в традиционных ОС.

Немаловажно, что при создании кибериммунных продуктов на базе KasperskyOS используется особая методология разработки. К стандартным шагам проектирования добавляется тщательное продумывание цели безопасности, верификация их достижения, моделирование угрозы и разработка политик безопасности.

Защита дома моего

Будущее защиты промышленного интернета вещей, благодаря кибериммунитету (это что-то вроде прививки), не будет требовать антивирусов. Но что делать обычным пользователям? Элементы интернета вещей для многих — неотъемлемая часть быта. Прежде всего необходимо задать сложный пароль для роутеров и сетевых камер. Лучше всего менять его раз в полгода. Поскольку вручную делать это ресурсозатратно и сложно, лучше воспользоваться менеджерами паролей, наподобие Kaspersky Password Manager.

Второе — все устройства под управлением Windows с доступом в интернет должны быть защищены антивирусом. Штатный Microsoft Defender вполне справляется со своей задачей, но можно воспользоваться и сторонними антивирусами. Наконец, следите за регулярными обновлениями операционной системы и не забывайте проверять обновления для роутера и других устройств в вашей сети.