Мачей Кранц - Интернет вещей. Новая технологическая революция

Слышали об атаке Stuxnet? Этот сетевой червь первым делом проник на иранскую атомную электростанцию. В результате его действий оборудование перегрелось и сломалось, из-за чего работу пришлось остановить на несколько месяцев. Затем этот червь проник на промышленные предприятия во многих странах, и специалистам пришлось принимать меры по предотвращению атак Stuxnet. Не зная точно, как именно работает вирус, они были вынуждены прибегнуть к сиюминутным решениям – например, защитить производственное оборудование сетевыми экранами. Впоследствии оказалось, что традиционные сетевые экраны, пережиток эпохи круговой ИТ-обороны, не могут справиться с атакой Stuxnet.

Прежде чем ИТ и ОТ начали работать вместе, ОТ предпочитала изолировать системы для обеспечения безопасности. Теперь мы знаем, что это не самый эффективный подход. Но это и одна из главных причин, по которым я с самого начала этой книги призываю вас установить взаимодействие между ИТ и ОТ.

Безопасность стала одним из главных тормозящих факторов внедрения IoT. Я перестал считать все конференции и встречи, главной темой которых не без причины называлась безопасность IoT. Нельзя и далее полагаться на физическую изоляцию. Все должно быть взаимосвязано. Как долго проработает ваша организация, если отключится электронная почта или интернет? Сегодня все бизнес-процессы зависят от способности подключаться к сети. Вспомните сценарии быстрого успеха, описанные в главе 5. Каждый из них опирается на поток данных с производственного объекта в ИТ-сеть предприятия и в итоге в облако. Сегодня идея отключить организацию от глобальной сети просто абсурдна – какой бы обнадеживающей она ни казалась.

Рисунок 9.1. Самозащита на основе рисков

В общем, от глобальной сети теперь никуда не уйдешь. Однако это не причина для паники. Не все угрозы одинаковы и не все объекты угроз обладают одинаковой важностью для вашей организации. Ваш ответ на различные типы угроз, направленные на различные объекты, должен быть взвешенным и пропорциональным (рис. 9.1). Для этого необходимо управление рисками.

Сегодня ведущие организации считают безопасность управляемым риском, который необходимо оценивать вместе с другими рисками бизнеса. Процесс управления рисками IoT-безопасности не отличается от процесса управления любыми другими рисками:

• Выявите вероятные угрозы.

• Оцените вероятность каждой угрозы и потенциальный ущерб.

• Определите и внедрите защитные меры, сообразные вероятности и потенциальному ущербу каждой из угроз.

Разные типы уязвимостей приводят к возникновению разных угроз, потенциально причиняющих различный ущерб предприятию. Угроза, которой под силу отключить заводской конвейер или остановить работу буровой платформы, гораздо серьезнее угрозы, которая может нарушить процесс учета материально-технических ресурсов. Оценивая потенциальные риски, вы можете принимать обоснованные решения о размере инвестиций в защитные механизмы. В этом отношении вложения в безопасность IoT ничем не отличаются от покупки различных типов страховок, необходимых организации. В обоих случаях инвестиции должны быть соизмеримы с вероятностью риска и потенциальной суммой потерь или ущерба.

Пока вы читаете эту книгу, компании годами успешно внедряют IoT под разными именами. Да, существуют серьезные риски, которые я подробно опишу чуть ниже, но отрасль активно разрабатывает защитные стратегии, а ее участники совместными усилиями определяют лучшие методы защиты, продукты и передовые практики, дающие возможность противостоять этим рискам. Не думайте, что вы не сможете защитить свою организацию. Вам это под силу – надо лишь начать с выявления рисков, их оценки и управления ими.

Однако важно понимать, что не существует волшебного снадобья для безопасности IoT. Размах и разнообразие IoT-решений не позволяют создать безотказную систему защиты. Технологии IoT постоянно меняются, а решения совершенствуются – и угрозы и векторы атаки изменяются вместе с ними. Вы имеете дело с активным противником, который постоянно пытается обхитрить вас и обойти вашу защиту. IoT не внедряется раз и навсегда, как и ваша IoT-защита. Как я уже сказал, управление рисками – продолжительный процесс. Оценку рисков надо повторять как минимум раз в год, а возможно и чаще – по мере изменения решений и появления новых угроз. Главное – разумно оценивать ситуацию, не забывать о рисках IoT и не бояться их.