Пристрої підключені до системи "Інтернет речей" (Internet of Things, IoT), такі як смарт-термостати Nest і розумні годинники FitBit, відсунули на другий план питання безпеки, так як залишають всі одержувані дані відкритими для потенційних зловмисників.
Так що ж говорити про пристрої IoT для "розумних міст", які контролюють системи громадського водопостачання, електромережі, управління відходами, трафік, вуличне освітлення, громадський транспорт і системи забезпечення фізичної безпеки - чи так вони вразливі, як цей браслет Fitbit на зап'ясті?
"Більшості міст по всьому світу є незахищеними від кібератаки," - каже Цезар Черрудо, технічний директор компанії IOActive. На минулорічній хакерській конференції DEF CON Черрудо представив дослідження про серйозні вразливості в системах управління рухом транспортних засобів, які могли б бути використані зловмисниками для створення пробки або аварії. Його дослідження надихнули його на створення міжнародної некомерційної ініціативи по забезпеченню безпеки розумних міст Securing Smart Cities. Дана ініціатива була створена в травні за підтримки організацій IOActive, Kaspersky Lab, Bastille і Cloud Security Alliance.
"Міста дійсно важливі, тому що вони - остови цивілізації. Вони - остови економіки," - говорить доцент Грег Конт, директор U.S. Army Cyber Institute в Вест-Пойнті. Разом з доцентом Вест-Пойнта Девідом Раймондом і технічним директором компанії Drawbridge Networks Томом Кроссом, на конференції Black Hat в серпні Конті буде вести засідання з питань "злому" міст.
"Ми збираємося розглянути безпеку міст, незалежно від того наскільки "розумними" вони є," - говорить Конті.
Що викликає занепокоєння щодо безпеки міст, особливо "розумних" міст?
1. Ненадійні пристрої та недостатнє тестування
Однією з найбільших проблем інтелектуальних будівель і розумних міст є те, що датчики обладнання можуть бути зламані і забезпечені невірними даними, які можуть бути використані зі злим умислом, наприклад, для генерації сигналів які відключають метро або додають в систему водопостачання домішки.
"Більшість виробників продуктів випускають обладнання та програмне забезпечення без будь-яких гарантій, а уряди випускають його без тестування," - каже Черрудо. Хоча вони можуть суворо перевіряти функціональність, кібербезпека може не бути частиною цього процесу. Наприклад, Черрудо виявив вразливість 200000 датчиків контролю руху, встановлених в містах по всьому світу, включаючи Нью-Йорк, Вашингтон і Лондон.
2. Величезні масштаби і взаємозалежність
Як сказав футуролог, доктор Саймон Мурc на виставці IFSEC минулого місяця, завдання інтеграції будівель міст, оснащених смарт-лічильниками електроенергії, системами вентиляції і кондиціонування, а також освітлення, є "майже нерозв'язною проблемою".
Кросс пояснює, що завдання інтеграції не тільки технологічного характеру; вона стосується всіх оперативних взаємозалежностей які існують в місті. "Якщо метро не буде працювати, люди не зможуть дістатися до своїх робочих місць, отже не будуть зроблені й інші речі," - каже він.
Черрудо пояснює, що зловмисники знають про цей "каскадний ефект" і що вони можуть використовувати його в своїх інтересах, почавши атаку з невеликої, погано захищеної системи яка видається не дуже важливою, але яка може створити ланцюгову реакцію.
3. Нестача нагляду і організованості
На виставці IFSEC Мурс поставив риторичне питання: "Хто відповідає, якщо розумні міста дають збій?".
Інші експерти вважають, що в багатьох містах досі немає чіткого керівництва з кібербезпеки, і що міста повинні створити центри по забезпеченню безпеки міст для обміну інформацією, оцінки вразливості і планування реагування на інциденти.
4. Зміни в політиці, зміни в бюджетах
Все це легше сказати, ніж зробити. Отримання бюджету на забезпечення безпеки завжди вимагає навчання фахівців. Проте, фахівці і бюджети можуть змінюватися кожні вибори. Крім того, існує брак фахівців в області кібербезпеки.
"Проблеми безпеки в містах реальні і насущні," - каже Черрудо. "Так що ми вже зараз повинні почати працювати на поліпшення безпеки".
Джерело www.ifsecglobal.com. Переклад статті виконала адміністратор сайту Олена Пономаренко
