Недавно образованный OpenFog Consortium (OFC) выдвигает использование туманных вычислений в качестве ключевого элемента безопасности. Просто подумайте об инструментах аналитики в реальном времени, которые работают в туманном узле автомобиля или буровой платформы. Эти инструменты могут выявлять проблемы и угрозы безопасности сразу после их возникновения и на месте принимать необходимые меры. Тестирование этого инструмента безопасности идет полным ходом. Когда вы решитесь на внедрение IoT, он будет полностью готов к использованию.
Кроме того, отрасль, наконец, ведет совместную работу по ускорению внедрения совместимых стандартов безопасности. К примеру, в автомобильной промышленности американское правительство вместе с исследовательскими организациями и ведущими автопроизводителями работает в Энн-Арборе, Мичиган, где осуществляются разработка, тестирование и совершенствование новых стандартов и практик для подключенных к сети и беспилотных автомобилей.
Безопасность как основа IoT
Безопасность стала одним из важнейших элементов IoT. И все же, несмотря на постоянное обсуждение вопросов безопасности, сегодня в этой сфере остается еще много проблем и недомолвок. Это открывает для поставщиков решений один из наиболее любопытных источников получения прибыли, а также дает им шанс разрабатывать инновационные сценарии безопасности IoT.
Система безопасности IoT более распределенная, разнородная и динамичная, чем система безопасности ИТ и ОТ. Она задействует многочисленные организации и роли, а также всю вашу экосистему IoT. Стоящие перед ней задачи тоже отличаются. В результате IoT требует нового подхода к безопасности, который предполагает не только предотвращение вторжений, но и быстрое выявление атак, оценку и компенсацию ущерба.
По крайней мере, теперь мы знаем, что физическая изоляция завода от всего предприятия и интернета не работает. Обеспечение безопасности IoT требует комплексного, архитектурного подхода, распространяющегося и на физическую безопасность. Встречаясь с директорами по информационной безопасности, я неизменно призываю их брать под личный контроль архитектуру безопасности всей их организации, включая физическую безопасность и безопасность ОТ. Одни прислушиваются ко мне, другие нет. Третьи и хотели бы последовать моему совету, но им мешают внутренняя политика организации и синдром неприятия чужих разработок. Так что, если вы планируете внедрение IoT у себя, то подружитесь с директором по информационной безопасности. В долгосрочной перспективе эта дружба вам обоим пойдет на пользу.
И все же новые сценарии использования IoT, такие как V2V или скопления датчиков, бросают безопасности новые вызовы. Что вы можете сделать? Вот несколько рекомендаций для начала:
• Усовершенствуйте круговую оборону, внедрив надежные системы, которым под силу поглощать атаки, не прекращая работы.
• Оснастите организацию отказоустойчивыми устройствами и системами, которые продолжают работать даже во время атак.
• Отслеживайте поврежденные системы, данные и устройства для последующей компенсации ущерба.
• Следите за исследованиями в сфере безопасности IoT и деятельностью стартапов – они обычно уделяют основное внимание новым сценариям использования решений безопасности IoT и новым технологиям вроде блокчейна.
За последние пять лет безопасность IoT сделала огромный шаг вперед: от устаревшего подхода «безопасность через маскировку» в ОТ-средах и паники вокруг Stuxnet к беспорядочным стратегиям латания дыр. Сегодня организации наконец-то начинают брать на вооружение более зрелый подход, разрабатывая комплексные и гибкие архитектуры безопасности. Хотя в целом – как отрасль, как потребители, как поставщики решений – мы становимся более подкованными в вопросах безопасности, я все еще встречаю множество предпринимателей, которые упрямо цепляются за устаревшие подходы. Многие организации противятся слиянию ИТ и ОТ и избегают разработки и внедрения единых архитектур безопасности. Некоторые директора по информационной безопасности не верят, что эти архитектуры подходят для сред ОТ. Ряд организаций продолжает отрицать изменения, внедряет неподходящие стратегии безопасности или заново изобретает велосипед, решая проблемы, которые их коллеги из ИТ успешно разрешили много лет назад. Более того, я до сих пор встречаю множество поставщиков решений, которые цепляются за свои устаревшие подходы, предлагая специализированные решения или ИТ-продукты, кое-как адаптированные для все более сложных и стандартизированных промышленных сред и протоколов. Очевидно, что необходимо организовывать больше учебных программ и призывать людей делиться передовыми практиками. Не забывайте, мы только начинаем наш путь к безопасности IoT.
«Безопасность – это ключевой фактор достижения успеха, получения финансовой выгоды, открытия новых возможностей, обеспечения уверенности и доверия людей, организаций и целых государств. Низкий уровень безопасности, напротив, приводит к утечке ресурсов и подрывает доверие к системе. Следовательно, организации должны понимать, что безопасность – движущая сила бизнеса, и ее необходимо обеспечивать, чтобы конкурировать и выделяться на рынке, где правит IoT. Они должны нацелиться на разработку и внедрение стратегий безопасности и подходить к ним комплексно, продумывая архитектуру, аналитику, управление, обеспечение конфиденциальности и неприкосновенности данных. Не менее важно, чтобы все команды сотрудников обладали должным уровнем знаний и навыков, удовлетворяющим всем требованиям связанного мира», – заметила Бола Ротиби, директор по научно-исследовательской работе и основатель компании Creative Internet Consulting, занимающейся консалтингом и аналитическими исследованиями.
Если вы читаете эту книгу и намереваетесь стать идеологом IoT в своей организации, вам тоже надо будет поддерживать внедрение комплексной, основанной на политиках, архитектуры безопасности IoT. Если вы приступите к внедрению IoT, не обдумав вопросы безопасности, то хорошего не ждите. Не считайте обеспечение безопасности отдельной задачей; внедряйте решения по безопасности в вашу систему с самого первого дня. Без помощи вы не останетесь – как я уже говорил, начните с разговора со своим директором по информационной безопасности и убедите его встать на вашу сторону. После этого, как я обозначил в первой главе, каждой организации необходимо сделать следующее:
• Внедрить единую архитектуру безопасности, основанную на открытом, унифицированном подходе и автоматизированных возможностях самозащиты и самовосстановления на основе рисков. Архитектура такого типа характеризуется гибкостью и многогранностью; она охватывает ОТ, ИТ и облако и позволяет вам единожды определять политики безопасности и применять их к нескольким сферам. Она также включает в себя вашу архитектуру, инфраструктуру и решения IoT. Архитектура работает с атаками до, во время и после, а также позволяет вам внедрять дополнительные возможности в будущем. Не забывайте: обеспечение безопасности – длительный процесс, который требует долгосрочного масштабируемого подхода.
• Внедрить единые стандарты. Стандарты разрабатываются не без причины, так что склоняйте своего поставщика решений к поддержке и использованию всех стандартов отрасли. Рассмотрите возможность своего участия в работе комитетов по стандартизации, таких как ODVA и ISA; многие организации и поставщики решений уже сотрудничают в их рамках, разрабатывая стандарты совместимости, обучая работе с ними и организуя их внедрение.