Информационное письмо
Образец оформления статьи
Анкета автора
16.03.2016

Проблема защиты данных в Интернете вещей

Бобылев Алексей Евгеньевич
Студент факультета математической экономики, статистики и информатики Российский экономический университет им. Г.В. Плеханова г. Москва, Российская Федерация
Трофимова Анна Викторовна
Студентка факультета математической экономики, статистики и информатики Российский экономический университет им. Г.В. Плеханова г. Москва, Российская Федерация
Аннотация: в данной статье приводится условная классификация Интернета вещей, описывается ряд проблем (самая актуальная из которых – несанкционированный доступ) в сфере защиты информации в этих устройствах и в их облачных компонентах, обусловленных отсутствием как локальных, так и международных стандартов в сфере информационной безопасности, вследствие чего возникает угроза финансовому состоянию, здоровью и в крайних случаях – жизни.
Ключевые слова: Интернет вещей, информационная безопасность, информационные технологии, несанкционированный доступ
Электронная версия
Скачать (650 Kb)

Непрерывно эволюционирующее общество ведет за собой развитие многогранной области «Информационные технологии», которая простирается в наше время во все сферы жизнедеятельности человека: начиная от электронного дневника многих учеников юного возраста, заканчивая автоматизацией процессов производства на предприятии. В рамках современной информационной парадигмы никого не удивляет такой факт, что количество пользователей сети Интернет показывает значительный прирост из года в год. На сегодняшний день 43% населения Земли имеют доступ к «всемирной паутине». Однако прогресс на этом не стоит: появляются устройства, образующие «сеть сетей». [6]

Технологии в наше время позволяют подключаться к сети Интернет многим вещам так, что из полученного арсенала датчиков, бытовых приборов и других предметов, имеющих активное подключение к сети, можно собрать сложную систему, выполняющую команды устройства управления, роль которых может выполнять любой гаджет: телефон, планшет, ноутбук. Это явление называется Интернетом вещей (Internet of Things, IoT), и спецификации данного образования в наши дни разрабатываются несколькими международными институтами по стандартизации.

В разработанной международной компанией Intel классификации выделяется две группы Интернета вещей: промышленный и потребительский. К промышленному сектору можно отнести умный транспорт или подключенные автомобили (Connected Cars), умный город (Smart City), умные сети (Smart Grid) в энергетике, умные машины и целые фабрики. К потребительскому – носимые устройства (Wearables), подключенные устройства (Connected Devices или Appliances), умный дом (Smart Home) (включая умные многоквартирные дома [1]) и др. (рис. 1) [3].

Рис. 1. Классификация Интернета вещей

Рис. 1. Классификация Интернета вещей

Несмотря на то, что предметы организуют свою собственную сеть, все действия, выполняемые этими устройствами, задает и контролирует человек. В качестве примера можно рассмотреть «умную ванну», которая дистанционно получает от пользователя данные о температуре набираемой воды и времени наполнения. [5] Исходя из этого, злоумышленник, подключенный к сети Интернет, может выявить с помощью данной технологии как наличие или отсутствие хозяина квартиры дома, так и составить «портрет» собственника жилья на основе его привычек и образа жизни. Зная все это, опытный манипулятор может угрожать финансовому состоянию, здоровью и в крайних случаях – жизни.

Появление Интернета вещей способствует росту количества устройств, использующих подключение к сети Интернет, следовательно, увеличивается количество потенциально уязвимых устройств для атак злоумышленников. Хакер при необходимости может приобрести любой девайс из Интернета вещей и проанализировать его с целью выявления уязвимых мест в защите. В отличие от обычных серверов, которые подвергаются атакам дистанционно и имеют специализированную защитную систему, IoT-девайсы более подвержены несанкционированному доступу.

Технологический сектор успел ощутить на себе серьезность угрозы несанкционированного доступа к Интернету вещей, и предпринимает первые шаги по обеспечению безопасности IoT. Это происходит на следующих уровнях: на уровне целых отраслевых групп, на уровне отдельных компаний. Например, международная организация стандартизации ISO создала рабочую группу, задачей которой является адаптация семейства стандартов безопасности ISO 27000 к применению их в сфере Интернета вещей. А ассоциация стандартов IEEE разрабатывает рамочную концепцию стандартизации безопасности в сфере IoT и защиты личных данных. [2]

Однако несмотря на эти шаги в сторону повышения уровня безопасности Интернета вещей, проблема защиты остается весьма актуальной. Это обуславливается пассивностью ведущих технологических компаний, которые не участвуют в разработке решений по обеспечению безопасности IoT-приложений. Если за эту актуальную задачу не примутся гиганты индустрии, то выработка решений в сфере защиты Интернета вещей перейдет к стартап-компаниям, обеспечивающим значительный нынешний рост сектора IoT. Согласно аналитической оценке консалтинговой компании Gartner, к 2017 году большая часть продуктов IoT будет производиться небольшими компаниями, существующими менее трех лет, часть из которых будет не в силах обеспечить нормальный уровень безопасности выпускаемой продукции. [2]

На сегодняшний день Интернет вещей включает в себя слабо связанные между собою разрозненные сети, существующие для использования конкретной сфере. В качестве примера рассмотрим современные автомобили, которые содержат в своем составе несколько сетей: певая управляет системой зажигания, вторая - аудиосистемой, третья - работу дворников. С течением времени сети Интернета вещей будут взаимодействовать со смежными сетями, тогда злоумышленник, подключившись к одному устройству, получит доступ ко всей сети, что может повлечь за собой непредсказуемые последствия.

Эксперты в сфере защиты данных утверждают, что производители услуг и устройств в сфере IoT нарушают принцип сквозной информационной безопасности, рекомендуемый для всех ИКТ-товаров и услуг. Согласно содержанию этого принципа, безопасность информации должна учитываться на начальной стадии проектирования и поддерживаться до списания продукта или услуги, то есть до завершения жизненного цикла.

Рассмотрим проблемы защиты информации на конкретных данных. В качестве примера рассмотрим некоторые результаты исследований компании HP, датированные летом 2014 года, целью которых было глобальное рассмотрение рисков безопасности информации в сетях Интернета вещей. Исследователи компании HP фокусируют внимание не только на проблемы производителя девайсов, но и на проблемы конечных пользователей, которые пренебрегают защитой своих устройств. В начале эксплуатации пользователю необходимо заменить заводской пароль, установленный по умолчанию, на свой личный. Так как заводские пароли одинаковы на всех устройствах, возникает большая уязвимость в защите устройства, если пользователь проигнорировал смену пароля. Поскольку не все приборы Интернета вещей имеют встроенные средства ИБ-защиты, пользователи должны задуматься об установке внешней защиты, предназначенной для использования в быту с целью избегания ситуаций, когда интернет-устройства становятся «распахнутыми дверьми» в домашнюю сеть. [6]

В ходе проведенного компанией HP исследования обнаружено следующее:

  • в 70% проанализированных устройств не шифруется беспроводной трафик;
  • в 60% веб-интерфейс является небезопасным в связи с высоким риском межсайтового скриптинга;
  • 90% устройств обрабатывают персональную информацию пользователя, составляя его «портрет» по поведению и привычкам. [6]

Выше были рассмотрены только самые весомые уязвимости IoT-устройств. В ходе анализа всего эксперты компании HP выявили около двадцати пяти различных уязвимостей в каждом из исследованных и их мобильных и облачных компонентах. Примерами угроз являются прослушка, блокирование дверных замков, отключение сигнализации, отслеживание местоположения и многое другое.

На основании всего этого можно сделать вывод, что на сегодняшний день безопасного Интернета вещей нет. Существует опасность, которую нецелесообразно игнорировать. В противном случае возникнут опасности как жизни и здоровью пользователя, так и финансам и имуществу. Стоит только злоумышленникам проявить интерес к кому-либо из нас, и наши верные помощники из мира IoT превращаются в предателей, нараспашку открывающих доступ в мир своих владельцев.

Список литературы:

1. Попов А.А. Формирование информационной системы для управления многоквартирным домом на основе устройств Интернета вещей. // Электронный журнал «Известия РЭУ». 2015. №2(20): Сайт. – URL: http://www.rea.ru/ru/org/managements/izdcentr/Pages/2(20),2015.aspx. (11.03.2016)

2. Как обезопасить Интернет вещей [Электронный ресурс]. URL: http://rusbase.com/story/IoT-security/. (10.03.2016)

3. О классификации Интернета вещей [Электронный ресурс]. URL: http://rusbase.com/opinion/iot-classes/. (10.03.2016)

4. Проблемы и перспективы Интернета вещей [Электронный ресурс]. URL: http://rusbase.com/opinion/russian-iot/. (10.03.2016)

5. В Бразилии появилась умная ванна [Электронный ресурс]. URL: http://www.rbc.ru/wildworld/05/07/2005/69215.shtml. (10.03.2016)

6. Что такое Интернет вещей (Internet of Things, IoT) [Электронный ресурс]. URL: http://tadviser.ru/a/135141. (10.03.2016).