• Сегментируйте IoT-трафик и обычный трафик ИТ-сетей и используйте мультиарендную сетевую инфраструктуру для изоляции проблем. Используйте сегментацию и другие знакомые процессы, но в то же время сотрудничайте с поставщиками ИТ-услуг, чтобы расширить набор их программного обеспечения и инструментов для работы с уязвимостями в сфере безопасности IoT. Не поддавайтесь соблазну внедрения специфических для IoT инструментов.
• Организуйте обучение практикам безопасности для всех сотрудников своей организации, а также для партнеров по экосистеме. Кроме того, регулярно обновляйте защиту IoT. В результате, как я уже говорил, безопасность должна стать приоритетом для каждого.
Я мог бы продолжать и дальше, но так мы зайдем в самые дебри безопасности. Чтобы найти больше информации о передовых практиках безопасности IoT, поговорите со своим директором по информационной безопасности или с представителями отраслевой ассоциации.
Проблемы безопасности IoT
Главная проблема управления рисками и оценки угроз заключается в ожидаемом огромном размахе IoT. На страницах этой книги мы уже говорили о миллиардах сетевых устройств. Само собой, многим не придется работать с таким их количеством, но не надо быть огромной организацией, чтобы иметь дело с миллионом устройств, учитывая устройства партнеров. Даже если вы располагаете всего лишь несколькими десятками тысяч сетевых устройств, их все равно слишком много, чтобы попытаться обеспечить безопасность без автоматизированных инструментов аналитики, настройки, мониторинга и т. п. Всего одна тысяча сетевых устройств может круглосуточно генерировать гигантские объемы данных и огромное количество предупреждений, тем самым перегружая все, кроме автоматизированных, интеллектуальных (основанных на правилах или политиках) масштабируемых инструментов и технологий.
Дополнительные проблемы создает большое разнообразие устройств, включая различные типы контроллеров, мониторов, счетчиков и других приборов. Многие из них могут принадлежать партнерам, так что ваше представление об их работе будет, скорее всего, ограничено – не говоря уже о том, что вам будет затруднительно понимать их данные и настраивать взаимодействие. Уверяю вас, даже если вы одержимы стремлением все контролировать, вы не сможете постоянно мониторить все устройства своей организации.
Решение этой проблемы довольно очевидно, но внедрить его непросто: вам необходимо организовать сотрудничество внутри экосистемы. Если ваша экосистема с самого начала формировалась с оглядкой на сотрудничество – как и должно быть, – логично будет внедрить в нее средства коммуникации и сотрудничества в сфере безопасности, основанные на общей архитектуре и политике.
Конфиденциальность
Сегодня уже все наслышаны об опасениях, связанных с конфиденциальностью клиентов. В мире B2B вопрос конфиденциальности в настоящий момент стоит не так остро, но игнорировать его ни в коем случае нельзя. Недавно я обсуждал эти вопросы на рынках B2B2C с несколькими специалистами по обработке данных. Одной из главных тем были проблемы уровней доступа и согласия на обработку информации – в частности, речь шла о том, как и какими данными делиться, как минимизировать ущерб от их утечки, как их рандомизировать и обезличивать, а также на каком уровне анализировать пользовательские данные, чтобы извлекать из них необходимые сведения, не жертвуя неприкосновенностью личной информации пользователя. В индустрии обсуждаются различные подходы к этим вопросам, включая техники вроде деидентификации и присвоения псевдонимов. В полной мере эти проблемы не будут решены и через много лет после публикации этой книги (если вообще будут решены хоть когда-нибудь), поэтому просто держите руку на пульсе.
В мире B2B главные проблемы конфиденциальности несколько отличаются. Они попадают в одну из следующих категорий:
• Данные сотрудников. Как правило, компании придерживаются следующего правила: вся информация, которую пользователи загружают на принадлежащие компании устройства или в инфраструктуру предприятия, находится под контролем организации. Сотрудники имеют право получать доступ к этим данным и/или осуществлять их мониторинг. Однако это предполагает, что сотрудники разрешают загрузку своих данных на устройства компании или сами загружают их в сети организации. Это сводит проблемы конфиденциальности к необходимости четкой коммуникации правил – сотрудники должны быть знакомы с политиками компании и их следствиями.
• Местоположение данных. Все чаще местоположение данных – физическое и географическое – становится проблемой не только потребительских компаний, но и компаний, работающих в сфере B2B, и даже правительственных организаций. Огромное внимание сегодня уделяется вопросам данных, которые пересекают национальные границы; ведутся споры, стоит ли применять к такой информации другие правила. Ваша архитектура безопасности должна быть достаточно гибкой, чтобы отвечать всем этим требованиям.
• Защита конфиденциальной информации сотрудников. Вы же не хотите, чтобы кто-то украл или раскрыл данные вашей кредитной карты или другую личную информацию. Точно так же и вашим сотрудникам не хочется, чтобы были украдены или раскрыты конфиденциальные сведения относительно их трудоустройства. В связи с этим в бизнес-мире тоже начинают использоваться правила и инструменты для работы с данными, характерные для мира потребителей: ограничивается доступ к данным и возможности их использования. Если вы используете устройства, сеть и инфраструктуру своей организации, информация о вашей деятельности легко доступна. Однако вскоре организациям придется определить и озвучить широкий спектр правил в отношении личных данных персонала: от того, в какой мере работодатель сможет просматривать данные сотрудников и ограничивать доступ к ним, до того, как именно будет защищаться конфиденциальная информация, например размер зарплаты сотрудников. Эти вопросы обсуждаются годами, и теперь организации должны рассматривать их в контексте IoT, больше внимания уделяя правилам в отношении пользовательских данных, содержащихся в корпоративной сети.
Однако отрасль IoT все больше консолидируется вокруг единых стандартов и передовых практик безопасности. Сложный мир стандартов я опишу в следующей главе, но вот несколько примеров: комитеты по горизонтальной стандартизации, такие как Инженерный совет интернета (IETF), Институт инженеров электротехники и электроники (IEEE) и Национальный институт стандартов и технологий (NIST), запустили инициативы, связанные с ключевыми сценариями использования решений по безопасности IoT на ряде существующих и новых вертикальных рынков. Кроме того, ODVA, Международная ассоциация автоматизации (ISA) и другие комитеты по вертикальной стандартизации расширили свои программы безопасности, включив туда современные протоколы и передовые практики информационной безопасности, а также сведения об их интеграции со старыми системами и IoT. Эти организации также уделяют большое внимание образованию, обучению и распространению передовых практик. Недавно Консорциум промышленного интернета (IIC) опубликовал «Рекомендации по безопасности промышленного интернета», куда вошли передовые практики и советы по организации безопасности конечных устройств, коммуникаций, мониторинга и настройки оборудования. Будем надеяться, что этот документ, который стал результатом двух лет усердной работы участников IIC, послужит руководством по обеспечению безопасности в сфере промышленного интернета вещей.
