О нас в СМИ
Почему интернет вещей — самая незащищенная область технологий? // Блог SkillFactory
Почему интернет вещей — самая незащищенная область технологий? // Блог SkillFactory
23 октября 2020 года
Мир в огне — это понятно. За нами следят — тут тоже никаких вопросов. Но как нам жить в окружении говорящих колонок, беспилотных автомобилей и цифровизованного ЖКХ, когда все настолько шатко? Как перестать бояться и осознать масштаб проблемы? Мы попросили Руслана Юсуфова в кейсах и цифрах рассказать, с чем сегодня столкнулся мир, переполненный информацией и ее носителями.
Цифровая гигиена и путь веры
Цифровая гигиена и путь веры
Сегодня по каждому из нас собирается огромный массив данных. В основном мы делимся ими добровольно: в банке, каршеринге, пиццерии около дома или в магазине, где при покупке кроссовок оформляем дисконтную карту. Личные данные, информация об имуществе, профили в соцсетях, информация о работе и привлечении к ответственности — все это можно узнать о человеке либо приложив незначительные усилия, либо потратив сравнительно небольшие суммы на «пробив».
По сути от утечки этих данных никто не застрахован: вы подписываете пользовательское соглашение и с этого момента начинается путь веры — в компанию и ее систему безопасности. Тем не менее, вы можете обеспечить собственную сохранность, соблюдая элементарные правила цифровой гигиены: смену паролей, обновления и прочие советы, по которым созданы сотни тысяч рекомендательных списков.
Сто тысяч первый чек-лист по цифровой гигиене:
Сейчас растет объем больших данных, а вместе с ним увеличиваются и киберриски. Так, у Facebook в 2019 году утекли 419 млн записей пользователей о телефонных номерах, местонахождении и поле и возрасте. В 2018 году произошла утечка данных более 500 млн клиентов сети отелей Starwood (принадлежит Marriott), что привело к штрафу в $ 124 млн. А по неподтвержденной информации, в 2019 году у Сбербанка утекли кредитные данные 60 млн клиентов (Сбербанк тогда признал утечку только 5 тыс. клиентов). Зато после таких историй крупные корпорации и жертвы хакеров в разы усиливают свои системы безопасности.
По сути от утечки этих данных никто не застрахован: вы подписываете пользовательское соглашение и с этого момента начинается путь веры — в компанию и ее систему безопасности. Тем не менее, вы можете обеспечить собственную сохранность, соблюдая элементарные правила цифровой гигиены: смену паролей, обновления и прочие советы, по которым созданы сотни тысяч рекомендательных списков.
Сто тысяч первый чек-лист по цифровой гигиене:
- Используйте двухфакторную аутентификацию, длинные и надежные пароли (и регулярно меняйте их);
- Обновляйте программы и операционные системы на всех устройствах;
- Создавайте резервные копии важных файлов;
- Не переходите по подозрительным ссылкам (обычно браузеры предупреждают о небезопасности сайтов, на которые вы собираетесь перейти);
- Не публикуйте важные документы, паспортные данные и данные банковской карты в соцсетях.
Сейчас растет объем больших данных, а вместе с ним увеличиваются и киберриски. Так, у Facebook в 2019 году утекли 419 млн записей пользователей о телефонных номерах, местонахождении и поле и возрасте. В 2018 году произошла утечка данных более 500 млн клиентов сети отелей Starwood (принадлежит Marriott), что привело к штрафу в $ 124 млн. А по неподтвержденной информации, в 2019 году у Сбербанка утекли кредитные данные 60 млн клиентов (Сбербанк тогда признал утечку только 5 тыс. клиентов). Зато после таких историй крупные корпорации и жертвы хакеров в разы усиливают свои системы безопасности.
Кибератаки и 10 тысяч компьютеров мэрии
Кибератаки и 10 тысяч компьютеров мэрии
Зачастую у преступников финансовая мотивация. И банки — это уже не главная цель (тем более, за последние годы значительно вырос уровень их систем защиты). Сегодня рост кибератак вызывает серьезную обеспокоенность не только корпораций, банков и наивных бабушек с их пенсиями, но и госструктур.
Во-первых, мошенники могут потребовать выкуп за расшифровку файлов на компьютерах госучреждений. Такой случай произошел в мае 2019 года, когда 10 тысяч компьютеров мэрии американского города Балтимор несколько недель не работали из-за вируса-шифровальщика. Во-вторых, киберпреступники могут использовать свободные вычислительные мощности IT-инфраструктуры государственных и муниципальных органов для своих целей: от майнинга криптовалют до создания сетей атакующих ботов.
Но сегодня опасения специалистов по кибербезопасности в большей степени вызывает растущие объемы самих источников информации и их уязвимость.
Во-первых, мошенники могут потребовать выкуп за расшифровку файлов на компьютерах госучреждений. Такой случай произошел в мае 2019 года, когда 10 тысяч компьютеров мэрии американского города Балтимор несколько недель не работали из-за вируса-шифровальщика. Во-вторых, киберпреступники могут использовать свободные вычислительные мощности IT-инфраструктуры государственных и муниципальных органов для своих целей: от майнинга криптовалют до создания сетей атакующих ботов.
Но сегодня опасения специалистов по кибербезопасности в большей степени вызывает растущие объемы самих источников информации и их уязвимость.
Интернет вещей и континентальный блэкаут
Интернет вещей и континентальный блэкаут
Все больше персональных данных передается на платформы интернета вещей (IoT). Источниками таких данных в бытовом плане много: от устройств «умного дома» до фитнес-браслетов.
Интернет вещей (IoT — Internet of Things) — это сеть, которая объединяет устройства и позволяет им собирать, обрабатывать и передавать данные другим устройствам через программное обеспечение или приложения. Сегодня интернет вещей используется в любой отрасли, где что-то можно автоматизировать. Особенно активно IoT развивается в аграрном секторе, логистике, технологиях Smart City.
Собирая данные с устройств, формируется хранилище информации, которое позволяет манипулировать большим количеством очень разных отношений — как общечеловеческих, так и коммерческих. И ситуация с кибератаками интернета вещей стала куда масштабнее пылесоса-шпиона или угнанного автомобиля. Хакеры могут использовать целую сеть гаджетов и «умных устройств».
Так, например, по прогнозам Еврокомиссии, к 2025 году около 20% домашних электронагревателей, а также зарядные устройства 14 млн электромобилей в Европе будут подключены к агрегаторам. Совокупная мощность этих устройств составит около 100 ГВт. Если предположить, что гипотетический лидер рынка агрегаторов в 2025 году будет контролировать 5 ГВт мощности зарядок электромобилей и 7,5 ГВт мощности электронагревателей, то его совокупная мощность будет более чем в четыре раза выше всей энергосистемы континентальной Европы.
В чем опасность? Это откроет возможности для злоумышленников по организации континентального блэкаута в европейской энергосистеме. А восстановление после него может занять несколько долгих и холодных недель.
Интернет вещей (IoT — Internet of Things) — это сеть, которая объединяет устройства и позволяет им собирать, обрабатывать и передавать данные другим устройствам через программное обеспечение или приложения. Сегодня интернет вещей используется в любой отрасли, где что-то можно автоматизировать. Особенно активно IoT развивается в аграрном секторе, логистике, технологиях Smart City.
Собирая данные с устройств, формируется хранилище информации, которое позволяет манипулировать большим количеством очень разных отношений — как общечеловеческих, так и коммерческих. И ситуация с кибератаками интернета вещей стала куда масштабнее пылесоса-шпиона или угнанного автомобиля. Хакеры могут использовать целую сеть гаджетов и «умных устройств».
Так, например, по прогнозам Еврокомиссии, к 2025 году около 20% домашних электронагревателей, а также зарядные устройства 14 млн электромобилей в Европе будут подключены к агрегаторам. Совокупная мощность этих устройств составит около 100 ГВт. Если предположить, что гипотетический лидер рынка агрегаторов в 2025 году будет контролировать 5 ГВт мощности зарядок электромобилей и 7,5 ГВт мощности электронагревателей, то его совокупная мощность будет более чем в четыре раза выше всей энергосистемы континентальной Европы.
В чем опасность? Это откроет возможности для злоумышленников по организации континентального блэкаута в европейской энергосистеме. А восстановление после него может занять несколько долгих и холодных недель.
Умные города и ядерные объекты
Умные города и ядерные объекты
Мы разобрали консьюмерский сегмент. Но существует еще и промышленный интернет вещей: датчики, сенсоры, различные устройства на производствах. По данным Statista, к 2025 году будет развернуто 75 млрд устройств Интернета вещей в различных областях, от интеллектуального сельского хозяйства и здравоохранения до умных городов. Все это значительно упрощает нам жизнь. И вместе с тем масштабирует последствия IoT-атак.
Так, в 2009 году в ходе заражения программного обеспечения ядерных объектов в иранском городе Натанза вирусом Stuxnet, злоумышленники взяли под контроль системы и манипулировали функционирующим оборудованием без ведома операторов. Преступники атаковали центрифуги на заводе по обогащению урана и на продолжительное время вывели их из строя. Несложно догадаться, насколько масштабной была бы катастрофа.
Другой не менее опасный случай — в 2013 году злоумышленник получил доступ к системам управления плотины Боумен-авеню в Нью-Йорке. Он считывал информацию о состоянии и работе плотины, включая информацию об уровнях воды, температуре и состоянии шлюзовых ворот, которые контролируют уровень воды и скорость потока. Этот доступ позволил хакеру удаленно управлять шлюзовыми воротами плотины. ЧП удалось избежать благодаря ручному отключению оборудования от систем автоматического управления.
Недавно мы проводили исследование и проанализировали все атаки за 2020 год по США. И выяснили, что такого рода атакам (а мы говорим о вирусах шифровальщиков) наиболее подвержены местные правительства на уровне поселений. В небольшом городишке на три тысячи человек вирус зашифровал абсолютно все. То есть город буквально умер. ЖКХ, все внутренние структуры, дороги и прочее — жизнь останавливается и у местного мэра начинают требовать выкуп. Тут два варианта развития: город умер, мэр ушел в отставку. Либо органы власти идут на уступки и выплачивают запрашиваемую сумму (а речь идет о десятках тысяч долларов).
Довольно часто блокируются критические инфраструктуры на уровне целого штата. Например, во время пандемии было очень много «анэплоемент"-порталов, которые создавались для того, чтобы люди могли получать пособия по безработице и фиксировать свои отношения с государством на получение субсидий. И все это массово блокировалось.
Очень много таких примеров, как с крупными корпорациями, так и с небольшими компаниями. Таких кейсов по шифровальщикам наберется на целую энциклопедию.
Так, в 2009 году в ходе заражения программного обеспечения ядерных объектов в иранском городе Натанза вирусом Stuxnet, злоумышленники взяли под контроль системы и манипулировали функционирующим оборудованием без ведома операторов. Преступники атаковали центрифуги на заводе по обогащению урана и на продолжительное время вывели их из строя. Несложно догадаться, насколько масштабной была бы катастрофа.
Другой не менее опасный случай — в 2013 году злоумышленник получил доступ к системам управления плотины Боумен-авеню в Нью-Йорке. Он считывал информацию о состоянии и работе плотины, включая информацию об уровнях воды, температуре и состоянии шлюзовых ворот, которые контролируют уровень воды и скорость потока. Этот доступ позволил хакеру удаленно управлять шлюзовыми воротами плотины. ЧП удалось избежать благодаря ручному отключению оборудования от систем автоматического управления.
Недавно мы проводили исследование и проанализировали все атаки за 2020 год по США. И выяснили, что такого рода атакам (а мы говорим о вирусах шифровальщиков) наиболее подвержены местные правительства на уровне поселений. В небольшом городишке на три тысячи человек вирус зашифровал абсолютно все. То есть город буквально умер. ЖКХ, все внутренние структуры, дороги и прочее — жизнь останавливается и у местного мэра начинают требовать выкуп. Тут два варианта развития: город умер, мэр ушел в отставку. Либо органы власти идут на уступки и выплачивают запрашиваемую сумму (а речь идет о десятках тысяч долларов).
Довольно часто блокируются критические инфраструктуры на уровне целого штата. Например, во время пандемии было очень много «анэплоемент"-порталов, которые создавались для того, чтобы люди могли получать пособия по безработице и фиксировать свои отношения с государством на получение субсидий. И все это массово блокировалось.
Очень много таких примеров, как с крупными корпорациями, так и с небольшими компаниями. Таких кейсов по шифровальщикам наберется на целую энциклопедию.
Много проблем и одно решение
Много проблем и одно решение
Сегодня интернет вещей — одна из самых незащищенных плоскостей в мире новых технологий. Хакеры находят незашифрованные данные, перепрограммируют любые незащищенные устройства, круглосуточно подключенные к интернету (очень удобно для того, чтобы взламывать системы), а затем создают армии ботов — бот-неты. С помощью них злоумышленники могут как заблокировать сайт, так и устроить серьезное ЧП.
Основной источник большинства проблем безопасности IoT заключается в том, что производители не тратят достаточно времени и ресурсов на безопасность, а должны были бы исповедовать принцип Secure by Design. Зачастую эти процессы не параллельны, а последовательны: сначала разрабатываем систему, а потом проводим аудиты и заделываем дыры.
Secure by Design — концепция, предполагающая создание безопасных продуктов на этапе проектирования. При таком подходе сначала рассматриваются альтернативные тактики и элементы систем безопасности, а уже потом создается сам продукт. Принцип применяются в дизайне и используется в качестве одного из руководств для разработчиков.
Еще один существенный фактор — нехватка квалифицированных специалистов. Тех, кто собирается заняться кибербезопасностью в этой сфере, ждут сплошные перспективы и светлое будущее (и очень много работы).
Для борьбы с киберугрозами компании создают специальные отделы, нанимают профессионалов или обращаются за помощью к внешним специалистам. Глобальные расходы на кибербезопасность выросли в 2019 году на 9%.
Несмотря на масштабы возможной катастрофы, проблема лежит не столько в плоскости сложных систем информационной защиты, сколько в поведении обычных людей. IoT-устройства, как правило, заражаются либо потому что владельцы устройств не сменили стандартные комбинации учетных данных, либо из-за непосредственного взлома слабозащищенных устройств.
Один из главных источников угроз — небезопасное программное обеспечение или прошивка. Поможет обхитрить хакеров и шифрование каналов связи между устройством, серверами и шлюзами. А еще соблюдение стандартных рекомендаций: не скачивать подозрительных файлов, не открывать аналогичных ссылок. Базовые принципы цифровой гигиены знает каждый второй, но почему-то у нас так и не пришла осознанность того, что это касается каждого.
Когда вы идете в лес, то примерно представляете, какие опасности вас могут ждать. Например, вы точно возьмете с собой средства от комаров и клещей и явно не будете срезать все грибы без разбора. Интернет — тот же лес и довольно агрессивная среда, но мы почему-то бежим туда, едим волчью ягоду, а потом кусаем медведя за хвост. Давайте попробуем быть разумнее?
Источник: Блог SkillFactory
Основной источник большинства проблем безопасности IoT заключается в том, что производители не тратят достаточно времени и ресурсов на безопасность, а должны были бы исповедовать принцип Secure by Design. Зачастую эти процессы не параллельны, а последовательны: сначала разрабатываем систему, а потом проводим аудиты и заделываем дыры.
Secure by Design — концепция, предполагающая создание безопасных продуктов на этапе проектирования. При таком подходе сначала рассматриваются альтернативные тактики и элементы систем безопасности, а уже потом создается сам продукт. Принцип применяются в дизайне и используется в качестве одного из руководств для разработчиков.
Еще один существенный фактор — нехватка квалифицированных специалистов. Тех, кто собирается заняться кибербезопасностью в этой сфере, ждут сплошные перспективы и светлое будущее (и очень много работы).
Для борьбы с киберугрозами компании создают специальные отделы, нанимают профессионалов или обращаются за помощью к внешним специалистам. Глобальные расходы на кибербезопасность выросли в 2019 году на 9%.
Несмотря на масштабы возможной катастрофы, проблема лежит не столько в плоскости сложных систем информационной защиты, сколько в поведении обычных людей. IoT-устройства, как правило, заражаются либо потому что владельцы устройств не сменили стандартные комбинации учетных данных, либо из-за непосредственного взлома слабозащищенных устройств.
Один из главных источников угроз — небезопасное программное обеспечение или прошивка. Поможет обхитрить хакеров и шифрование каналов связи между устройством, серверами и шлюзами. А еще соблюдение стандартных рекомендаций: не скачивать подозрительных файлов, не открывать аналогичных ссылок. Базовые принципы цифровой гигиены знает каждый второй, но почему-то у нас так и не пришла осознанность того, что это касается каждого.
Когда вы идете в лес, то примерно представляете, какие опасности вас могут ждать. Например, вы точно возьмете с собой средства от комаров и клещей и явно не будете срезать все грибы без разбора. Интернет — тот же лес и довольно агрессивная среда, но мы почему-то бежим туда, едим волчью ягоду, а потом кусаем медведя за хвост. Давайте попробуем быть разумнее?
Источник: Блог SkillFactory
О нас в СМИ