IoT глазами обывателя

Игорь Калайда, генеральный директор НИИ СОК

Интернет вещей  (IoT) —  модная тема. Этот термин то и дело попадается в прессе –  от «желтой» до солидных изданий. Появляются новые классы устройств, аналитики прогнозируют наступление новой эры Интернета вещей. Проблематикой IoT озаботились отечественные законодатели, разрабатываются «дорожные карты», способствующие внедрению таких технологий в различных сферах. Многие «умные вещи» уже можно купить, они стоят не так уж дорого и, судя по всему, вскоре начнут активно входить в наши дома. Рассмотрим тему IoT с позиции обывателя: что он может ожидать от появления «умных вещей»? И хорошего, и плохого.

В середине цикла зрелости

Концепция Интернета вещей была предложена еще в 1999 г. для описания взаимодействия объектов между собой и с окружающей средой с применением технологии радиочастотной идентификации (RFID). В дальнейшем, по мере удешевления и миниатюризации электронных компонентов, внедрения новых информационных технологий, подразумевающих использование беспроводных сетей, эта концепция получила широкое распространение.  

Примером ее реализации является сервис «Яндекс.Пробки». Смартфоны водителей  собирают данные о трафике и передают их в информационную систему Яндекса. На основе этих данных производятся расчеты, водители получают информацию о загруженности дорог и рекомендации по выбору маршрута.

С 2011 г. Gartner размещает «Интернет вещей» в общем цикле зрелости новых технологий на этапе «Технологический триггер», указывая срок его становления более 10 лет. Таким образом, соответствующие технологии находятся в середине цикла зрелости, характеризуемой значительным информационным «шумом», началом широкомасштабного внедрения в разных сферах и высокими темпами развития.

По прогнозам Gartner, в 2021 г. количество IoT-устройств и -датчиков превысит 46 млрд, что в два раза больше, чем насчитывалось в 2016 г. Доля РФ оценивается как 0,35% общего числа таких устройств в мире.

Как считают аналитики IDC, до 2021 г. Россия будет оставаться лидером в Центральной и Восточной Европе по инвестициям в IoT. В 2021 г. расходы на IoT в нашей стране ожидаются на уровне 9,4 млрд долл. Вторую и третью позицию по объемам затрат займут Польша (5,8 млрд долл.) и Чехия (2,3 млрд долл.).

Что предлагает потребительский сектор

Интернет вещей можно разделить на несколько сегментов: потребительский, транспорт, промышленность, коммунальные службы, здравоохранение, торговля, безопасность. В каждом из секторов технологии IoT имеют свою специфику. Мы ограничимся потребительским сектором –  не самым большим по финансовым показателям, но важным для обычных граждан.

Этот сектор пока находится на стадии созревания, и «умные вещи» зачастую еще не обладают качествами, способными существенно влиять на потребительское поведение. Например, гаджеты для фитнеса поначалу интересны пользователю, но, как правило, не меняют его привычки в отношении занятий. Многие «умные вещи» слишком сложны в применении и не особенно полезны, поэтому владельцы довольно быстро откладывают их в сторону.

В потребительском секторе рынка также можно выделить несколько сегментов, которые характеризуются разной степенью зрелости.

Умный дом Предметы личного пользования Личный транспорт Вне дома / Общественная сфера
Обеспечение безопасности Носимые устройства Ассистенты водителя Дроны и роботы
Автоматика для бытовой техники Умная одежда Навигация Предметы для занятий спортом
Свет, камеры, замки Медицинские приборы Автоматизация вождения Предметы для шопинга
Виртуальный помощник Виртуальная реальность Диагностика Взаимодействие с другими людьми
    Информационно-развлекательные  

Для «умных вещей» важно наличие целого набора потребительских свойств – безопасность, комфорт, удобство, производительность, доступность услуг. Хорошим примером являются решения, обеспечивающие безопасность дома. Их функционал понятен потребителю. Наличие единой системы, управляющей замками, камерами и другими элементами защиты, несомненно, удобно. Кроме того, в доме, как правило, уже имеется готовая инфраструктура для внедрения таких решений (кабели провайдера, сеть Wi-Fi), что позволяет производителям предлагать их по меньшей цене и с дополнительным функционалом.

Менее зрелым (хотя потенциально – очень крупным) является сегмент IoT, нацеленный на поддержку здорового образа жизни и медицинского обслуживания граждан как в быту, так и в специализированных учреждениях. К нему относятся:

  • всевозможные гаджеты для занятий спортом;
  • медицинские приборы для людей, страдающих хроническими заболеваниями;
  • предметы ухода за людьми с ограниченными возможностями и пожилыми.

Несомненно, такие приборы очень нужны, и потребители готовы за них платить, но, к сожалению, рынок пока не созрел. На нем работают множество стартапов и крупнейших международных компаний, однако вместо весомых результатов мы видим войну стандартов, сложности с обеспечением взаимодействия «умных предметов» разных производителей, и синергетического эффекта от такого взаимодействия пока ждать не приходится.

Так что же действительно полезное предлагает рынок? Это – ряд вполне зрелых «умных вещей» и сервисов, которыми многие пользуются прямо сейчас (например, навигаторы и гаджеты для фитнеса). Кроме того, некоторые не вполне «дозрелые» вещи (например, предметы ухода за престарелыми) востребованы людьми, очень в них нуждающимися. Наконец, есть интересные «умные вещи», которые, может быть, не очень важны для обывателя, но способствуют пониманию им потенциальных возможностей IoT и подготавливает его и производителя к неминуемо наступающей Новой Эре. Вспомним, как эволюционировали мобильные телефоны! А сейчас вы можете представить себе жизнь без смартфонов?

Проблемы защиты IoT

Однако в прессе появляются и весьма неприятные сообщения, связанные с нарушением информационной безопасности IoT:

  • некий гражданин взломал защиту «радионяни», подключился к закрытому каналу связи и болтал с чужим ребенком, завоевывая его доверие. Это – случай нарушения конфиденциальности;
  • другой гражданин продемонстрировал слабость защиты индивидуальных медицинских приборов и возможность передавать им команды, приводящие пациентов к летальному исходу, – он взломал защиту помпы, вводящей инсулин по расписанию, и кардиостимулятора. Данный случай можно расценить как нарушение целостности данных, определяющих программу работы прибора;
  •  группа хакеров воспользовалась  IoT-устройствами (видеокамерами и др.), передающими данные через Интернет, для проведения массовых атак на некоторые Интернет-ресурсы (например, Олимпиады-2016 в Рио). В данной ситуации были нарушены целостность и доступность данных, что позволило модифицировать ПО и отключить штатные функции приборов.

Продолжение этого далеко не полного списка неминуемо последует – читайте прессу! Так почему такие случаи стали возможны?

С позиции информационной безопасности IoT является ИС, включающей в себя ряд компонентов:

  • «умную вещь» с встроенными датчиками и программным обеспечением (агент);
  • инфраструктуру, обеспечивающую передачу данных;
  • систему управления (менеджер, взаимодействующий с агентом);
  • информационную систему верхнего уровня, собирающую и обрабатывающую данные агентов.

Эти компоненты можно обнаружить и практически в любой другой ИС, но правила обеспечения ИБ в «обычных» информационных системах к IoT малоприменимы. Это обусловлено спецификой IoT:

- широкий диапазон требований к ИБ. Зачастую на уровне «умной вещи» таких требований нет вообще или они минимальны, но на уровне системы все обстоит иначе. Например, каковы требования к ИБ конкретного датчика, периодически передающего показания расхода воды? Их практически нет, ведь эти данные вряд ли конфиденциальны. Если при очередной передаче информация будет потеряна или искажена – не беда, все легко восстановить. Однако если злоумышленники целенаправленно внесут искажения в показания множества датчиков, на основе которых автоматическая система управления предпримет некорректные действия (например, изменит режим подачи воды), это может привести к аварии;

- большой разброс потребляемой мощности и скоростей передачи данных. В ряде случаев для маломощных низкоскоростных устройств, передающих малые объемы данных, нет криптографических алгоритмов, не приводящих к существенному повышению потребления энергии;

- производители потребительских IoT-устройств зачастую не думают о безопасности клиентов. Клиенты также об этом не думают. Приведенный нами пример взлома медицинских устройств свидетельствует, скорее всего, о том, что в них не были задействованы (или были некорректно настроены) стандартизированные механизмы защиты;

- война стандартов. В области IoT работают более 25 групп по стандартизации, действуют свыше 250 стандартов и рекомендаций, зачастую несовместимых. При этом аспекту обеспечения безопасности уделяется недостаточно внимания.

Итак, можно констатировать серьезные проблемы, связанные с информационной безопасностью потребительского сектора Интернета вещей. Помимо нарушений конфиденциальности и доступности беспроводных сетей связи возникают проблемы с защитой данных и на других уровнях. Рассмотрим более подробно новые риски и уязвимости на примере «умного дома».

Может ли «умный дом» стать «бешеным»?

Сегмент «Умный дом» является  одним из наиболее понятных для потребителя. Предметы для него разрабатываются производителями уже давно и представлены на рынке.  Для потребителя важны наличие единой консоли для управления многочисленными разнородными «умными вещами» и возможность удаленного информирования о нештатных ситуациях.

Например, комплексное решение для Умного дома» предлагает ПАО «МегаФон». Решение  включает в себя Центр управления, набор устройств («Умная лампа», «Умная розетка», датчики открытия окон и дверей, движения, дыма, протечек воды, качества воздуха, ухода за растениями, Wi-Fi-камера) и ПО для смартфона. Центр управления взаимодействует с «умными вещами» с использованием энергосберегающих протоколов ZigBee, Z-wave или Bluetooth-канала, имеющих малый радиус действия (порядка 20 м). Сам Центр взаимодействует с информационной системой «МегаФона» через Интернет. Через ту же ИС осуществляется связь со смартфоном клиента. Центр имеет следующие приоритеты доступа в  Интернет:

 • LAN или Wi-Fi (WLAN);

• SIM-карта (2G/3G/4G).

При этом на сайте и в инструкциях «МегаФона» нет упоминаний о следующих потенциальных проблемах, связанных с информационной безопасностью:

- нарушение связи Центра с ИС «МегаФона» по вине злоумышленника, организовавшего подавление Wi-Fi и сотовой связи 2G/3G/4G, или по «естественным» причинам (выход из строя аппаратной части Центра, сбой ПО);

- нарушение связи Центра с «умными устройствами», ложные сигналы.  Для беспроводной связи используются протоколы с низким уровнем сигнала. Такая связь может нарушиться из-за помех, создаваемых другим оборудованием, или быть подавлена нарушителем.  Протоколы относительно слабо защищены, и нарушитель может посылать в Центр ложные сигналы;

- внедрение ложных объектов. В системе идентификации используются фиксированные физические адреса устройств (MAC-адреса). Это дает возможность изготавливать дубликаты устройств и проводить различные атаки, вызывать ложные срабатывания сигнала тревоги;

- смартфон может попасть в руки нарушителя, приложение «Умный дом» может быть  отключено, в ПО могут быть внесены изменения. Того же результата позволяет добиться вредоносное ПО;

- информационная система «МегаФона» потенциально содержит уязвимости. Мы ничего не знаем об организации защиты информации в этой системе.  Формальный статус передаваемых данных отсутствует, формальных требований к их защите тоже нет.

 Теперь предположим, что гражданин N, озаботившийся обеспечением безопасности своего дома, увидел на сайте заманчивое предложение: «Оптимальный комплект устройств для организации безопасного дома включает в себя Центр управления, датчики открытия и закрытия дверей, протечек воды, дыма, движения и Wi-Fi-камеру». Решив, что это предложение вполне ему подходит, в том числе по цене (она примерно соответствует стоимости недорогой охранной сигнализации автомобиля), гражданин N установил оборудование и подключил Центр по Wi-Fi (LAN он дома не использует). Все исправно работает, он доволен и расслабился.

Ну а сейчас рассмотрим пару «кейсов» злоумышленника.

Кейс № 1. Узнав о новой «игрушке» гражданина N, злоумышленник решил, дождавшись его отсутствия, посетить «безопасный» дом. Оборудование – пару глушилок для Wi-Fi и сотовой сети – он приобрел на радиорынке (на нем, правда, места знать надо). Дальше, думаю, понятно. Залез в дом и, уходя с вещичками, не забыл «вырубить» Центр.

Кейс № 2. Все еще проще. Тот же злоумышленник, воспользовавшись информацией с сайта о протоколе, по которому подключены датчики открытия окон, дверей и движения (ZigBee), запасся соответствующей глушилкой. Далее – смотри выше.

Можно придумать множество подобных «кейсов», даже не обязательно с целью проникновения в дом. Технически подкованные подростки могут немного похулиганить, дистанционно включая и выключая свет в соседнем доме. А кому-то придет в голову «пошутить», вызвав ложные срабатывания датчиков. Например, семейство уезжает на отдых, и через некоторое время ему приходит сообщение о протечке, а потом раздается звонок по телефону якобы от соседей – «у вас потоп!». Все это вполне возможно, да и пока, похоже, ненаказуемо.

 Вопрос об ответственности можно поставить так: «Каким стандартам должна соответствовать система безопасности «Умного дома» и кто отвечает за ее нормальное функционирование?». Ответы, скорее всего, окажутся такими: «никаким и никто». Все дело заключается в нормативно-методических и законодательных аспектах, а точнее – в полном отсутствии нормативной базы ФСТЭК России и ФСБ России, относящейся к IoT. Действующие нормативные документы регуляторов малоприменимы к технологиям IoT, а новые, наверное, появятся не очень скоро – требуется время на осмысление новых феноменов.

Что дальше?

Потребительский сектор Интернета вещей продолжит расти и развиваться. Появятся новые «умные вещи», потребители на практике начнут знакомится с полезными для них устройствами. Вот – примеры использования технологий IoT в потребительском секторе.

Умный дом Предметы личного пользования Личный транспорт Вне дома/Общественная сфера
Системы ухода за людьми с ограниченными возможностями Фитнес Навигаторы Предметы для отдыха
Уход за животными Тренировки Мониторинг параметров при движении Системы поддержки в путешествиях
Уход за детьми Путешествия Диагностика Предметы для занятий спортом
Системы обеспечения безопасности Развлечения Системы поддержки водителя Планирование событий
Оздоровление Индивидуальные системы безопасности   Системы поддержки шопинга
Сокращение отходов Повышение продуктивности деятельности    
Экономия энергии Личные медицинские приборы    
Управление доступом      

Одной из главных проблем IoT останется обеспечение безопасности. В этой проблеме, которой пока уделяют недостаточно внимания как производители, так и потребители, нужно учесть много аспектов:

  • стандартизация  и методология защиты IoT;
  • адекватная защита беспроводных сетей;
  • надежная система идентификации/аутентификации «умных вещей»;
  • защита данных, которые не являются персональными, но несут много информации  о владельце устройств или семье;
  • анализ специфических рисков, присущих конкретной технологии IoT;
  • обучение пользователей правилам информационной безопасности в контексте IoT.

Общее положение дел в области безопасности вряд ли улучшится в ближайшее время. В следующем году мы, скорее всего, услышим и о новых видах атак с использованием «умных вещей».

В общем, с наступающей Новой Эрой IoT вас! 

Тэги: 
Оцените материал:
Total votes: 5

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.