Сегодня тенденция онлайн-подключения телевизоров, часов, бытовой техники и даже лампочек набирает обороты, а устройства с поддержкой сети Интернет становятся важной частью нашей повседневной жизни. В стремлении к более продуктивной, удобной, а иногда даже простой жизни стремительное увеличение использования Интернета вещей (Internet-of-Things) неизбежно. По предварительным прогнозам, к 2020 году количество подключенных к Интернету устройств возрастет до 30 миллиардов.
Вместе с инновациями в области аппаратного программного обеспечения, управлении облачными и большими данными, машинном обучении, IoT также уже внедряется во многих отраслях промышленности, в том числе и в критической инфраструктуре. Различные отрасли инвестируют в использование промышленного Интернета вещей (Industrial Internet-of-Things) для повышения эффективности инфраструктуры, энергоуправления, здравоохранения и коммунальных услуг.
В то же время подключения к сети Интернет всех этих устройств или систем, от домашней смарт-техники до промышленных приборов, привело к возникновению ряда угроз для безопасности и конфиденциальности данных пользователей. При этом, вместо предупреждения о возможных рисках пользователям рассказывают о функционале, эффективности использования заряда и других преимуществах. Однако не всегда готовность делится данными с устройствами, а также с их производителями и другими лицами перевешивает практическую пользу от использования технических новинок. Платой за все эти удобства зачастую является сбор важных конфиденциальных данных и скрытое от пользователя дальнейшее распространение или использование информации.
Кроме этого, с ростом зависимости от Интернет-технологий контролировать безопасность хранения данных на устройствах становится все сложнее. В частности, стремительное расширение связи между устройствами, приложениями и службами при отсутствии соответствующих мер безопасности увеличивает количество потенциальных уязвимостей, которыми могут воспользоваться киберпреступники. При этом, для заражения IoT или использования их для атаки на другие устройства сети часто достаточно небольших технических навыков. А с учетом персональных данных, собранных датчиками устройств, конфиденциальность данных пользователей сейчас находится в серьезной опасности.
Вызывает беспокойство и то, что устройства IoT часто объединяют цифровой и физический мир. Не считая некоторые примеры из ежедневного пользования, такие как разумные зубные щетки, уязвимость многих типов устройств IoT может представлять реальную угрозу. Инсулиновые дозаторы и электрокардиостимулятора — пример IoT с выявленными недостатками безопасности, использование которых хакерами способно повлечь фатальные последствия. Кроме этого, через уязвимые устройства IoT киберпреступники могут получать доступ к другим устройствам в сети.
Одним из факторов, который затрудняет защиту IoT от угроз является то, что много гаджетов содержат недостатки безопасности «из коробки». Их прошивка, то есть встроенное программное обеспечение, может содержать старые и уже хорошо известные уязвимости вовремя или после попадания на рынок. Исправить ошибки возможно по результатам проведения даже неполного анализа кода, конечно, при условии его осуществления.
В противном случае, уязвимости могут оставаться не исправленными в течение всего времени использования продукта. Даже если такие обновления выпускаются, они часто недоступны для обычных пользователей из-за сложности установления или необходимости привлечения дополнительных ресурсов. А чаще всего пользователи никогда не узнают о существовании этих исправлений.
В дополнение к этому, для некоторых устройств вообще не предусмотрена возможность обновления программного обеспечения. В таких случаях их владельцы не могут применять исправления в случае обнаружения уязвимостей, а также предотвращать их использование в злонамеренных целях.
Еще одной проблемой мира IoT остается отсутствие аутентификации. Благодаря этому киберпреступники могут легко получить доступ к развернутой системы IoT и данных пользователей. В частности, достаточно часто пользователи оставляют настройки по умолчанию и не меняют имена пользователей и пароли после покупки устройства. Тогда как обычно по умолчанию используются общедоступные, легкие и даже закодированные учетные данные, которые чаще всего можно найти в Google.
Этим в 2016 году воспользовался ботнет Mirai, который получил доступ к десяткам тысяч устройств IoT со стандартными учетными данными. После этого с помощью ботнета была совершена серия DDoS-атак, которые остановили работу тысячи веб-сайтов.
Конфиденциальная информация также может быть похищена не только из-за недостатков аутентификации при установлении соединений, но и из-за отсутствия шифрования данных между устройством и сервисами, расположенными в облаке. К сожалению, многие устройства имеют ограниченные вычислительные ресурсы и даже не могут использовать сложные протоколы шифрования.
Не исключено, что пользователи иногда могут не знать о подключении устройства к сети и передачу им данных. Действительно, IoT вызвали важные изменения во взаимодействии между пользователями и информацией, что привело к возникновению новых вызовов для конфиденциальности данных. В этой ситуации для начала нужно осознать потенциальные опасности и принять меры для минимизации возможных рисков.