Новий світ "Інтернету речей» характеризується мільйонами підключених пристроїв. При більшій кількості незахищених пристроїв та точок доступу до мережі, ніж раніше, принципи «Secure-by-Design» мають вагоме значення для захисту від наростальних загроз кібербезпеки. За останні кілька років цифрові технології змінили світ, торкнувшись всіх секторів ділової активності та повсякденного життя. Результатом став світ Інтернету речей (IoT), в якому все інструментовано та взаємопов'язано.

До кінця 2018 року в світі використовувалося близько 22 мільярдів пристроїв, підключених до Інтернету речей. Згідно з прогнозами, до 2030 року ця цифра збільшиться до 50 мільярдів, що створить величезну мережу взаємопов'язаних пристроїв. Щоб підтримувати це майбутнє з високим ступенем взаємозв'язку, тисячі пристроїв Інтернету речей (IoT) кожен день підключаються до мереж. Крім того, прагнення до нових функцій породило «потребу в швидкості» з точки зору розробки та розгортання нових типів пристроїв.

Швидке зростання складних підключених пристроїв

Багато пристроїв, підключених до Інтернету речей, сьогодні дуже складні та включають в себе передові алгоритми штучного інтелекту та інші функції наступного покоління. IP камери відеоспостереження — показовий приклад. За останні 15 років вони перетворилися з простих аналогових відеокамер в складні, повністю оцифровані пристрої Інтернету речей, засновані на машинному навчанні та штучному інтелекті. Як і у випадку з іншими типами пристроїв, еволюція була обумовлена ​​потребами клієнтів в поліпшених функціональних можливостях та варіантах підключення. Цей попит також призвів до терміновості процесу розробки, коли виробники конкурували за те, щоб якомога швидше пропонувати найбільш передові функції для завоювання клієнтів та частки ринку.

Урівноваження швидкості розробки та міркувань безпеки

Гонка за розробкою більш багатофункціональних та підключених пристроїв IoT задовольнила експлуатаційні потреби клієнтів, але часто доводилося йти на компроміси з точки зору безпеки. Зрештою, забезпечення безпеки всіх аспектів виробничого процесу вимагає часу — дорогоцінного ресурсу, який не завжди доступний. Через брак часу деякі виробники пристроїв віддають перевагу швидкості розробки і виробництва, а не самій безпеці.

Наслідками переваги швидкості над безпекою стало вагоме збільшення кількості серйозних інцидентів, пов'язаних з кібербезпекою Інтернету речей. Кіберзлочинці змогли відносно легко отримати доступ до мільйонів пристроїв Інтернету речей просто тому, що ці пристрої не були розроблені та вироблені з урахуванням вимог безпеки.

До кінця 2016 року, наприклад, ботнет Mirai став світовою новиною, і безпеці Інтернету речей почали приділяти вагому увагу. Це наочний приклад того, що може піти не так, коли небезпечні пристрої IoT (Wi-Fi камери, мережеві маршрутизатори, датчики розумного будинку, відеореєстратори або датчики диму) підключені до Інтернету без належних заходів безпеки.

У випадку з Mirai зловмисники змогли зламати мільйони незахищених пристроїв Інтернету речей — в даному випадку камери відеоспостереження. Потім вони використовували об'єднану комп'ютерну потужність пристроїв для запуску цільових інтернет-атак DDoS (розподілена відмова в обслуговуванні).

Урок ще не засвоєний

На жаль, з 2016 року відбулося набагато більше кібер-інцидентів з пристроями Інтернету речей, і вони продовжують відбуватися щодня. У 2019 дослідники безпеки з F-Secure випустили попередження про те, що кібератаки на пристрої Інтернету речей зростають безпрецедентними темпами. Вони виміряли «триразове збільшення трафіку атак до понад 2,9 мільярда подій». Згідно з дослідженням, ця наростальна загроза частково пояснювалася «відсутністю базових засобів захисту в застарілих прошивках програмного забезпечення або архітектурі, а почасти — відсутністю підтримки інформаційної безпеки. Часто ІТ-відділи навіть не знають про всі ці пристрої в своїх мережах».

Критична важливість "Secure-by-Design"

Один з ключових способів запобігти шкідливі атаки на пристрої IoT — поліпшити їх захист. На жаль, дуже складно впровадити дієву безпеку після того, як пристрій Інтернету речей виготовлено або встановлено. Замість цього найбільш продуктивним способом запобігання зломів вважається забезпечення безпеки під час виробництва пристроїв, що часто називається виробництвом Secure-by-Design.

Secure-by-Design — це забезпечення безпеки на всіх етапах виробничого процесу, від концептуальної до фінальної фази постачання. На концептуальній фазі визначаються вимоги безпеки; на етапі проектування розробляється архітектура безпеки для дизайну продукту; на етапі розробки буде проводитися перевірка програмного коду та сканування коду; на етапі перевірки виконується тестування на проникнення, а на етапі доставки надається навчання безпеки й технічна підтримка. Всі ці заходи безпеки у виробничому процесі підвищують кіберстійкість системи відеоспостереження та інших рішень, а згодом роблять непотрібними дорогі поліпшення кібербезпеки.

Умови для Secure-by-Design

Є кілька попередніх умов для виробників, які хочуть інтегрувати принципи Secure-by-Design в усі аспекти свого виробничого процесу. По-перше, на організаційному рівні має бути зобов'язання інвестувати в безпеку кожного продукту. Це може вплинути на виробничі витрати, але також значно підвищить безпеку та надійність (а також цінність) продуктів, надавши клієнтам конкретні гарантії безпеки.

Також Secure-by-Design вимагає, щоб виробники були відкриті для тестування на проникнення (ручне тестування) третіми сторонами після того, як пристрої спроектовані, виготовлені та введені в експлуатацію. Це гарантує, що продукти здатні протистояти новим загрозам кібербезпеки, а також існуючим.

В кінцевому підсумку принципи Secure-by-Design вимагають, щоб виробники дійсно серйозно ставилися до зміцнення своєї кібербезпеки та захисту своїх клієнтів від порушень безпеки. Так, наприклад, йде справа в компанії Hikvision, де використовуються принципи «Secure-by-Design», щоб звести до мінімуму ризик нанесення збитку від кібератак всьому асортименту продукції.