Интернет вещей (IoT) и безопасность людей

Интернет вещей (IoT) и безопасность людей
О безопасности Интернета вещей в последнее время разговаривают довольно много. Решил и я поучаствовать в этой публичной дискуссии из монологов. Уровень заметки начальный.

Казалось бы: глупенькие с точки зрения вычислительных способностей устройства подключаются к Интернету для того, чтобы их хозяевам было удобнее управлять ими. При этом владелец не собирается озадачиваться техническими особенностями работы своей, так сказать, экосистемы. Она удобна и функционирует, принося пользу всей семье либо компании. Настройки не сложные, интуитивно понятные. В случае сбоя перезагрузил - и опять работаешь. Ни затрат на организацию инфраструктуры (Интернет есть почти везде), ни высококвалифицированного персонала, не подходящего под профиль бизнеса компании (все можно настроить самим), не требуется. Настроил - пользуйся.

Частный дом, индивидуальное отопление. Когда все уезжают на работу, особого смысла поддерживать во всем доме +22 нету. Достаточно гораздо меньшей температуры. При общей квадратуре комнат и коридоров больше 100, если отопление электрическое, грунтовое либо дизельное, лишний десяток градусов позволит в месяц экономить приличную сумму, при этом не в ущерб находящемуся в квартире имуществу. Газовый котел тоже не помешает ставить на экономный режим. Скрутить отопление на минимум перед выходом не проблема. Не хочется потом по возвращению с работы еще час раскочегаривать дом до комфортной температуры. Другое дело, если перед выездом из офиса подключился, поставил отопление на обогрев - и приехал в уже теплый дом.

http://key.ru/images/item_images/item_2825632/smarthome1.jpg

Москва. Зима. Офис. Задержался на работе. Первый час - потому что работы много, еще два - чтобы в пробках не стоять. Машина стоит во дворах через 2-3 квартала. Своей парковки у компании нет, а платную использовать накладно. Пока выйдешь из офиса, пока дойдешь до машины, пока прогреешь... Автозапуск с брелка такое расстояние через арматуру может не достать. То ли дело приложение на телефоне, которым ты у дверей офиса включаешь двигатель. Дошел до машины - а она уже готова. Садись и езжай. Машина-то с мозгами.

http://ru.fishki.net/picsw//022013/21/auto/braincar/auto-001.jpg

И таких примеров можно привести множество. Автомобили, которые сами паркуются, выезжают с парковки, даже сами едут куда надо. Газовая плита, которая сама подогреет все к твоему приходу. Кофеварка, не заставляющая тебя ждать кофе. Ванна, которая сама наберется и выключит кран, когда вода дойдет до нужного уровня. Умные лампочки, включающиеся и выключающиеся по расписанию. Человек мало перед чем останавливается в гонке за комфортом, особенно если его можно монетизировать.

Но есть и обратная сторона медали. Теперь, чтобы убить человека, достаточно разогреть газовый котел отопления через Интернет до такой степени, что он взорвется. Угнать машину через приложение автозапуска, отключающее охранную сигнализацию и выводящую автомобиль с парковки менее рискованно, чем делать это дедовскими методами.  Подслушать, что происходит на совещании акционеров, обсуждающих многомиллиардные слияния и поглощения, подключившись через Интернет к системе конференцсвязи, становится все проще. 
Компьютерные модули управления домашними вещами довольно глупы и не будут в состоянии хранить необходимую при расследовании информацию. Да и правоохранительные органы могут не обратить внимание на интернетизацию взорвавшегося котла или угнанной машины. Киберпреступление, к которым пока не все относятся серьезно, может стать методом совершения самого обычного преступления. И это только то, что расследуется в рамках уголовного кодекса как единичные преступления. На Противостоянии было продемонстрировано, что может случиться с незащищенной инфраструктурой ГЭС. А это уже другой масштаб и другая статья УК. Приблизительно то же самое можно сделать и с многими остальными управляемыми устройствами, от работы которых зависит нечто более реальное, чем обработка запросов через Интернет. После таких выводов желание использовать умные вещи пропадает, потому что умные они по сравнению с неуправляемыми вещами, но к выходу в полный опасностей мир Интернета совсем не готовы.

Как инженер по защите информации, я задумался о том, что можно сделать для защиты подключаемых к Интернет глупеньких вещей с учетом определенных ограничений, накладываемых пользовательским спросом и ожиданиями. Чтобы после накрутки всех примочек безопасности производительность и надежность не упала, цена поднялась не заоблачно, а удобство не просело ощутимо. Не будет удобно - не будет продаваться. Не будет продаваться - не будет выпускаться секурное решение. Не будет выпускаться секурное решение - будет выпускаться удобное продаваемое небезопасное.

ToDo:
  • Определить цели IoT
  • Смоделировать архитектурные варианты IoT
  • Определить архитектурные компоненты IoT
  • Смоделировать угрозы IoT
  • Разработать варианты защиты на всех уровнях
  • Разбить зоны ответственности

Звучит пафосно. Но есть нюанс: я не первый и не последний, кто озадачился этими вопросами. А это значит, что большую часть ответов либо серьезную базу для них можно найти уже сейчас. Пошел читать. Полезные ссылки приветствуются.

Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed