Почему интернет вещей — самая незащищенная область технологий? Объясняет эксперт по кибербезопасности

Мир в огне — это понятно. За нами следят — тут тоже никаких вопросов. Но как нам жить в окружении говорящих колонок, беспилотных автомобилей и цифровизованного ЖКХ, когда все настолько шатко? Как перестать бояться и осознать масштаб проблемы? Мы попросили Руслана Юсуфова в кейсах и цифрах рассказать, с чем сегодня столкнулся мир, переполненный информацией и ее носителями.

Руслан Юсуфов — специалист по кибербезопасности, основатель и управляющий партнер компании MINDSMITH, которая занимается исследованиями в области высоких технологий. До работы в MINDSMITH руководил специальными проектами в Group-IB – это одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Еще он официальный спикер TEDx, участник заседания ООН в Вене и один из лучших экспертов Московской школы управления «Сколково» . 

Цифровая гигиена и путь веры 

Сегодня по каждому из нас собирается огромный массив данных. В основном мы делимся ими добровольно: в банке, каршеринге, пиццерии около дома или в магазине, где при покупке кроссовок оформляем дисконтную карту. Личные данные, информация об имуществе, профили в соцсетях, информация о работе и привлечении к ответственности – все это можно узнать о человеке либо приложив незначительные усилия, либо потратив сравнительно небольшие суммы на «пробив». 

По сути от утечки этих данных никто не застрахован: вы подписываете пользовательское соглашение и с этого момента начинается путь веры — в компанию и ее систему безопасности. Тем не менее, вы можете обеспечить собственную сохранность, соблюдая элементарные правила цифровой гигиены: смену паролей, обновления и прочие советы, по которым созданы сотни тысяч рекомендательных списков. 

Сто тысяч первый чек-лист по цифровой гигиене:

  • Используйте двухфакторную аутентификацию, длинные и надежные пароли (и регулярно меняйте их);
  • Обновляйте программы и операционные системы на всех устройствах;
  • Создавайте резервные копии важных файлов;
  • Не переходите по подозрительным ссылкам (обычно браузеры предупреждают о небезопасности сайтов, на которые вы собираетесь перейти);
  • Не публикуйте важные документы, паспортные данные и данные банковской карты в соцсетях.

Сейчас растет объем больших данных, а вместе с ним увеличиваются и киберриски. Так, у Facebook в 2019 году утекли 419 млн записей пользователей о телефонных номерах, местонахождении и поле и возрасте. В 2018 году произошла утечка данных более 500 млн клиентов сети отелей Starwood (принадлежит Marriott), что привело к штрафу в $124 млн. А по неподтвержденной информации, в 2019 году у Сбербанка утекли кредитные данные 60 млн клиентов (Сбербанк тогда признал утечку только 5 тыс. клиентов). Зато после таких историй крупные корпорации и жертвы хакеров в разы усиливают свои системы безопасности. 

Кибератаки и 10 тысяч компьютеров мэрии

Зачастую у преступников финансовая мотивация. И банки – это уже не главная цель (тем более, за последние годы значительно вырос уровень их систем защиты). Сегодня рост кибератак вызывает серьезную обеспокоенность не только корпораций, банков и наивных бабушек с их пенсиями, но и госструктур. 

Во-первых, мошенники могут потребовать выкуп за расшифровку файлов на компьютерах госучреждений. Такой случай произошел в мае 2019 года, когда 10 тысяч компьютеров мэрии американского города Балтимор несколько недель не работали из-за вируса-шифровальщика. Во-вторых, киберпреступники могут использовать свободные вычислительные мощности IT-инфраструктуры государственных и муниципальных органов для своих целей: от майнинга криптовалют до создания сетей атакующих ботов. 

Но сегодня опасения специалистов по кибербезопасности в большей степени вызывает растущие объемы самих источников информации и их уязвимость. 

Интернет вещей и континентальный блэкаут

Все больше персональных данных передается на платформы интернета вещей (IoT). Источниками таких данных в бытовом плане много: от устройств «умного дома» до фитнес-браслетов. 

Интернет вещей (IoT – Internet of Things) — это сеть, которая объединяет устройства и позволяет им собирать, обрабатывать и передавать данные другим устройствам через программное обеспечение или приложения. Сегодня интернет вещей используется в любой отрасли, где что-то можно автоматизировать. Особенно активно IoT развивается в аграрном секторе, логистике, технологиях Smart City. 

Собирая данные с устройств, формируется хранилище информации, которое позволяет манипулировать большим количеством очень разных отношений — как общечеловеческих, так и коммерческих. И ситуация с кибератаками интернета вещей стала куда масштабнее пылесоса-шпиона или угнанного автомобиля. Хакеры могут использовать целую сеть гаджетов и «умных устройств». 

Так, например, по прогнозам Еврокомиссии, к 2025 году около 20% домашних электронагревателей, а также зарядные устройства 14 млн электромобилей в Европе будут подключены к агрегаторам. Совокупная мощность этих устройств составит около 100 ГВт. Если предположить, что гипотетический лидер рынка агрегаторов в 2025 году будет контролировать 5 ГВт мощности зарядок электромобилей и 7,5 ГВт мощности электронагревателей, то его совокупная мощность будет более чем в четыре раза выше всей энергосистемы континентальной Европы. 

В чем опасность? Это откроет возможности для злоумышленников по организации континентального блэкаута в европейской энергосистеме. А восстановление после него может занять несколько долгих и холодных недель.

Умные города и ядерные объекты

Мы разобрали консьюмерский сегмент. Но существует еще и промышленный интернет вещей: датчики, сенсоры, различные устройства на производствах. По данным Statista, к 2025 году будет развернуто 75 млрд устройств Интернета вещей в различных областях, от интеллектуального сельского хозяйства и здравоохранения до умных городов. Все это значительно упрощает нам жизнь. И вместе с тем масштабирует последствия IoT-атак. 

Так, в 2009 году в ходе заражения программного обеспечения ядерных объектов в иранском городе Натанза вирусом Stuxnet, злоумышленники взяли под контроль системы и манипулировали функционирующим оборудованием без ведома операторов. Преступники атаковали центрифуги на заводе по обогащению урана и на продолжительное время вывели их из строя. Несложно догадаться, насколько масштабной была бы катастрофа. 

Другой не менее опасный случай – в 2013 году злоумышленник получил доступ к системам управления плотины Боумен-авеню в Нью-Йорке. Он считывал информацию о состоянии и работе плотины, включая информацию об уровнях воды, температуре и состоянии шлюзовых ворот, которые контролируют уровень воды и скорость потока. Этот доступ позволил хакеру удаленно управлять шлюзовыми воротами плотины. ЧП удалось избежать благодаря ручному отключению оборудования от систем автоматического управления. 

Недавно мы проводили исследование и проанализировали все атаки за 2020 год по США. И выяснили, что такого рода атакам (а мы говорим о вирусах шифровальщиков) наиболее подвержены местные правительства на уровне поселений. В небольшом городишке на три тысячи человек вирус зашифровал абсолютно все. То есть город буквально умер. ЖКХ, все внутренние структуры, дороги и прочее — жизнь останавливается и у местного мэра начинают требовать выкуп. Тут два варианта развития: город умер, мэр ушел в отставку. Либо органы власти идут на уступки и выплачивают запрашиваемую сумму (а речь идет о десятках тысяч долларов).

Довольно часто блокируются критические инфраструктуры на уровне целого штата. Например, во время пандемии было очень много «анэплоемент»-порталов, которые создавались для того, чтобы люди могли получать пособия по безработице и фиксировать свои отношения с государством на получение субсидий. И все это массово блокировалось. 

Очень много таких примеров, как с крупными корпорациями, так и с небольшими компаниями. Таких кейсов по шифровальщикам наберется на целую энциклопедию. 

Много проблем и одно решение

Сегодня интернет вещей – одна из самых незащищенных плоскостей в мире новых технологий. Хакеры находят незашифрованные данные, перепрограммируют любые незащищенные устройства, круглосуточно подключенные к интернету (очень удобно для того, чтобы взламывать системы), а затем создают армии ботов – бот-неты. С помощью них злоумышленники могут как заблокировать сайт, так и устроить серьезное ЧП.  

Основной источник большинства проблем безопасности IoT заключается в том, что производители не тратят достаточно времени и ресурсов на безопасность, а должны были бы исповедовать принцип Secure by Design. Зачастую эти процессы не параллельны, а последовательны: сначала разрабатываем систему, а потом проводим аудиты и заделываем дыры. 

Secure by Design — концепция, предполагающая создание безопасных продуктов на этапе проектирования. При таком подходе сначала рассматриваются альтернативные тактики и элементы систем безопасности, а уже потом создается сам продукт. Принцип применяются в дизайне и используется в качестве одного из руководств для разработчиков.

Еще один существенный фактор — нехватка квалифицированных специалистов. Тех, кто собирается заняться кибербезопасностью в этой сфере, ждут сплошные перспективы и светлое будущее (и очень много работы). 

Для борьбы с киберугрозами компании создают специальные отделы, нанимают профессионалов или обращаются за помощью к внешним специалистам. Глобальные расходы на кибербезопасность выросли в 2019 году на 9%.

Несмотря на масштабы возможной катастрофы, проблема лежит не столько в плоскости сложных систем информационной защиты, сколько в поведении обычных людей. IoT-устройства, как правило, заражаются либо потому что владельцы устройств не сменили стандартные комбинации учетных данных, либо из-за непосредственного взлома слабозащищенных устройств. 

Один из главных источников угроз — небезопасное программное обеспечение или прошивка. Поможет обхитрить хакеров и шифрование каналов связи между устройством, серверами и шлюзами. А еще соблюдение стандартных рекомендаций: не скачивать подозрительных файлов, не открывать аналогичных ссылок. Базовые принципы цифровой гигиены знает каждый второй, но почему-то у нас так и не пришла осознанность того, что это касается каждого. 

Когда вы идете в лес, то примерно представляете, какие опасности вас могут ждать. Например, вы точно возьмете с собой средства от комаров и клещей и явно не будете срезать все грибы без разбора. Интернет – тот же лес и довольно агрессивная среда, но мы почему-то бежим туда, едим волчью ягоду, а потом кусаем медведя за хвост. Давайте попробуем быть разумнее?

Текст записала Наталья Лучкина

Поделиться:
Опубликовано в рубрике UncategorizedTagged ,

SkillFactory.Рассылка