Мачей Кранц - Интернет вещей. Новая технологическая революция

Безопасность стала одним из важнейших элементов IoT. И все же, несмотря на постоянное обсуждение вопросов безопасности, сегодня в этой сфере остается еще много проблем и недомолвок. Это открывает для поставщиков решений один из наиболее любопытных источников получения прибыли, а также дает им шанс разрабатывать инновационные сценарии безопасности IoT.

Система безопасности IoT более распределенная, разнородная и динамичная, чем система безопасности ИТ и ОТ. Она задействует многочисленные организации и роли, а также всю вашу экосистему IoT. Стоящие перед ней задачи тоже отличаются. В результате IoT требует нового подхода к безопасности, который предполагает не только предотвращение вторжений, но и быстрое выявление атак, оценку и компенсацию ущерба.

По крайней мере, теперь мы знаем, что физическая изоляция завода от всего предприятия и интернета не работает. Обеспечение безопасности IoT требует комплексного, архитектурного подхода, распространяющегося и на физическую безопасность. Встречаясь с директорами по информационной безопасности, я неизменно призываю их брать под личный контроль архитектуру безопасности всей их организации, включая физическую безопасность и безопасность ОТ. Одни прислушиваются ко мне, другие нет. Третьи и хотели бы последовать моему совету, но им мешают внутренняя политика организации и синдром неприятия чужих разработок. Так что, если вы планируете внедрение IoT у себя, то подружитесь с директором по информационной безопасности. В долгосрочной перспективе эта дружба вам обоим пойдет на пользу.

И все же новые сценарии использования IoT, такие как V2V или скопления датчиков, бросают безопасности новые вызовы. Что вы можете сделать? Вот несколько рекомендаций для начала:

• Усовершенствуйте круговую оборону, внедрив надежные системы, которым под силу поглощать атаки, не прекращая работы.

• Оснастите организацию отказоустойчивыми устройствами и системами, которые продолжают работать даже во время атак.

• Отслеживайте поврежденные системы, данные и устройства для последующей компенсации ущерба.

• Следите за исследованиями в сфере безопасности IoT и деятельностью стартапов – они обычно уделяют основное внимание новым сценариям использования решений безопасности IoT и новым технологиям вроде блокчейна.

За последние пять лет безопасность IoT сделала огромный шаг вперед: от устаревшего подхода «безопасность через маскировку» в ОТ-средах и паники вокруг Stuxnet к беспорядочным стратегиям латания дыр. Сегодня организации наконец-то начинают брать на вооружение более зрелый подход, разрабатывая комплексные и гибкие архитектуры безопасности. Хотя в целом – как отрасль, как потребители, как поставщики решений – мы становимся более подкованными в вопросах безопасности, я все еще встречаю множество предпринимателей, которые упрямо цепляются за устаревшие подходы. Многие организации противятся слиянию ИТ и ОТ и избегают разработки и внедрения единых архитектур безопасности. Некоторые директора по информационной безопасности не верят, что эти архитектуры подходят для сред ОТ. Ряд организаций продолжает отрицать изменения, внедряет неподходящие стратегии безопасности или заново изобретает велосипед, решая проблемы, которые их коллеги из ИТ успешно разрешили много лет назад. Более того, я до сих пор встречаю множество поставщиков решений, которые цепляются за свои устаревшие подходы, предлагая специализированные решения или ИТ-продукты, кое-как адаптированные для все более сложных и стандартизированных промышленных сред и протоколов. Очевидно, что необходимо организовывать больше учебных программ и призывать людей делиться передовыми практиками. Не забывайте, мы только начинаем наш путь к безопасности IoT.

«Безопасность – это ключевой фактор достижения успеха, получения финансовой выгоды, открытия новых возможностей, обеспечения уверенности и доверия людей, организаций и целых государств. Низкий уровень безопасности, напротив, приводит к утечке ресурсов и подрывает доверие к системе. Следовательно, организации должны понимать, что безопасность – движущая сила бизнеса, и ее необходимо обеспечивать, чтобы конкурировать и выделяться на рынке, где правит IoT. Они должны нацелиться на разработку и внедрение стратегий безопасности и подходить к ним комплексно, продумывая архитектуру, аналитику, управление, обеспечение конфиденциальности и неприкосновенности данных. Не менее важно, чтобы все команды сотрудников обладали должным уровнем знаний и навыков, удовлетворяющим всем требованиям связанного мира», – заметила Бола Ротиби, директор по научно-исследовательской работе и основатель компании Creative Internet Consulting, занимающейся консалтингом и аналитическими исследованиями.