Прогнозы экспертов
По информации Шона Майкла Кернера, вице-президент программы «Продукты безопасности» компании IDC Кристиан Кристиансен озабочен серьезной проблемой в сфере безопасности IoT
[43]. IDC полагает, что 90 % текущих предложений в сфере безопасности IoT представляют собой универсальные технологии безопасности, поданные под другим соусом. К примеру, некоторые поставщики предлагают стандартные шлюзы для IoT, обещая, что они будут совместимы с широким спектром технологий. Или предлагают стандартные сетевые экраны, развернутые в защищенной среде, добавляя несколько дополнительных идентификаторов и поддержку промышленных протоколов. Такие предложения просто не справляются с обеспечением безопасности IoT.
Кернер написал, что IDC во многом связывает проблему с трудностями поиска опытных специалистов по безопасности. IDC отмечает, что нанять профессионалов безопасности с пятью-десятью годами опыта гораздо сложнее, чем нанять специалистов по ИТ-безопасности без опыта работы. По мнению IDC, для решения этой проблемы необходимо удовлетворять постоянно растущую потребность в более интеллектуальной настройке и автоматизации систем, чтобы снизить потребность в человеческом вмешательстве в процедуры обеспечения безопасности. Полагаю, внедренная в ваши процессы настройки и автоматизации аналитика – и особенно предиктивная аналитика – поможет вам значительно сократить потребность в квалифицированных сотрудниках службы безопасности. Рискуя повториться, я все же скажу, что хорошее программное обеспечение, каким бы дорогим оно ни казалось, все равно дешевле найма большего количества людей.
Тем временем в опубликованном 25 апреля 2016 года пресс-релизе компании Gartner говорится, что к 2020 году более 25 % выявленных атак на предприятия будет связано с IoT
[44]. По данным компании, в связи с этим мировые расходы на безопасность IoT в 2016 году достигли 348 миллионов долларов, что на 23,7 % больше потраченных в 2015 году. А в 2018 году эти расходы могут достичь уже 547 миллионов долларов. Хотя сначала общие расходы будут умеренными, Gartner также предсказывает, что после 2020 года рынок безопасности IoT будет расти быстрее, поскольку новые навыки, организационные перемены и более масштабируемые сервисы улучшат механизмы внедрения и поддержат экспансию IoT (рис. 9.5).
Рисунок 9.5. Угрозы безопасности и расходы на безопасность
В пресс-релизе приводятся слова директора Gartner по исследованиям Руггеро Конту, который предсказал, что, хотя к 2020 году более 25 % выявленных атак на предприятия будет связано с IoT, на обеспечение безопасности IoT будет тратиться менее 10 % бюджетов на информационную безопасность. Столь ограниченные бюджеты на IoT в сочетании с децентрализованным подходом к внедрению первых IoT-решений приведут к тому, что у поставщиков продуктов безопасности возникнут сложности с приоритетами IoT-решений в своих портфолио. Конту также ожидает, что многие поставщики выведут в приоритет выявление уязвимостей и обнаружение взломов, а не упоминавшуюся ранее сегментацию и долгосрочные меры, которые обеспечат более рациональный и архитектурно цельный подход к обеспечению безопасности IoT. Конту сказал:
«Ожидается, что в сфере безопасности IoT все больше внимания будет уделяться управлению устройствами и их данными, аналитике этих данных и настройке устройств. Бизнес-сценарии IoT потребуют разработки механизма доставки, который также сможет расти и развиваться вместе с требованиями к мониторингу, распознаванию угроз, контролю доступа и другим аспектам обеспечения безопасности».
Будущее облачных сервисов безопасности во многом связано с будущим IoT. Фактически фундаментальная сила IoT, которая заключается в его размахе и охвате, не будет полностью реализована, пока не появятся облачные сервисы безопасности, способные экономически эффективно функционировать во многих организациях. Gartner полагает, что к 2020 году более чем в половине всех внедряемых решений IoT будет использоваться тот или иной облачный сервис безопасности.
Мой личный опыт и наблюдения в целом соотносятся с выводами IDC и Gartner. Однако безопасность IoT нельзя считать исключительно технологической проблемой. Само собой, вам необходимо инвестировать в инструменты для работы с конкретными вопросами безопасности. Но гораздо важнее привлекать к обеспечению безопасности всю организацию, начиная с топ-менеджмента, и настаивать, чтобы решения принимались на основании обоснованного управления рисками, политик безопасности и оценки угроз. Далее вы сможете определить, какие технологии безопасности и какие инструменты минимизации ущерба вам необходимы.
Передовые практики безопасности
Решения по безопасности IoT все еще развиваются. Однако на основании множества встреч с предпринимателями и экспертами я выявил набор практик, которые отлично работают сейчас и продолжат хорошо работать в будущем. С большинством из них вы уже знакомы из предыдущих глав, но давайте все же кратко их перечислим:
• С самого начала разрабатывайте и создавайте интегрированную (комплексную) стратегию безопасности на уровне всего предприятия. Не оставляйте обеспечение безопасности на потом. Механизмы безопасности должны быть изначально интегрированы в ваши IoT-процессы.
• Сразу склоняйте топ-менеджеров к оценке угроз и управлению рисками. Угрозы безопасности ставят на кон их карьеры и предприятия, так что добейтесь, чтобы обеспечение безопасности IoT стало для них одной из важнейших задач. Топ-менеджеры должны знать, как оценивать угрозы и управлять рисками, и заниматься этим в рамках своей работы. Просите их применить оба подхода к оценке рисков IoT. (Возможно, им понадобится помощь при изучении конкретных вопросов и оценке объема работ.)
• По возможности внедряйте отраслевые стандарты. Специализированные решения подорвут фундамент вашей стратегии безопасности. По необходимости обращайтесь за советом к комитетам по стандартизации и торговым ассоциациям.
• Обеспечивайте безопасность повсюду – от главного центра обработки данных, находящегося за корпоративным сетевым экраном или за его пределами, до всех конечных устройств. Это означает, что вам необходимо будет настаивать на активном участии ваших партнеров и входящих в экосистему поставщиков в вашей стратегии безопасности.
• Автоматизируйте и непрерывно мониторьте безопасность IoT. Чтобы успевать следить за всеми событиями, встраивайте в свои решения интеллектуальные возможности и предиктивную аналитику, особенно аналитику на базе туманных вычислений. Предупреждайте сотрудников о необходимости принять меры сразу после выявления проблем. Даже в небольшой организации IoT быстро сведет на нет все попытки справиться с анализом данных вручную.