Читаем Интернет вещей. Новая технологическая революция полностью

Однако важно понимать, что не существует волшебного снадобья для безопасности IoT. Размах и разнообразие IoT-решений не позволяют создать безотказную систему защиты. Технологии IoT постоянно меняются, а решения совершенствуются – и угрозы и векторы атаки изменяются вместе с ними. Вы имеете дело с активным противником, который постоянно пытается обхитрить вас и обойти вашу защиту. IoT не внедряется раз и навсегда, как и ваша IoT-защита. Как я уже сказал, управление рисками – продолжительный процесс. Оценку рисков надо повторять как минимум раз в год, а возможно и чаще – по мере изменения решений и появления новых угроз. Главное – разумно оценивать ситуацию, не забывать о рисках IoT и не бояться их.

Безопасность и сопутствующее ей управление рисками должны быть в приоритете у каждого, а не только у специалистов сферы ИТ и ОТ. Особенное внимание им должны уделять топ-менеджеры. Это ключевая задача для вас и вашей виртуальной команды IoT, ведь в рецепте успеха IoT из первой главы написано: «Поставьте безопасность в приоритет». Согласно исследованию, проведенному компанией ISACA на конференции RSA в 2016 году, 82 процента руководителей сегодня озабочены проблемами кибербезопасности[40]. Не знаю, о чем думают остальные 18 процентов, но этими проблемами давно пора заниматься всем.

Сначала я хотел привести несколько примеров провалов безопасности IoT, но вам и так знакомы эти истории: парнишка взламывает местную систему поездов и мешает движению или хакеры проникают в системы атомных электростанций или коммунального водоснабжения. Зачем знакомиться с другими примерами, если любой поставщик решений с радостью перечислит вам их, надеясь продать свой продукт для обеспечения безопасности IoT.

Я же хочу продать лишь одно решение безопасности: осознанную оценку и мониторинг рисков в сочетании с подходящим и пропорциональным ответом на угрозы безопасности, соответствующим уровню угрозы и потенциальной сумме ущерба. Определив свои потребности, вы сможете выбрать лучшее решение проблемы безопасности из тех, что предлагают поставщики, и сразу внедрить его в свою экосистему. Кроме того, стоит обратить внимание и на страхование кибербезопасности, которое уже начинают предлагать некоторые страховые компании. После этого останется лишь один последний, но важный шаг: привлечь к обеспечению безопасности руководителей вашей организации и заручиться их поддержкой, поскольку никто из них не захочет, чтобы его компания оказалась на первых полосах всех газет в качестве жертвы кибератаки.

Есть много причин для хакерских атак на ваше IoT-решение. Одни хакеры занимаются этим из любопытства, другие делают политические заявления, для третьих это целенаправленные военные акции или террористические акты. Однако я подозреваю, что в большинстве случаев хакеры ищут наживы, воруя данные или коммерческие тайны для получения рыночного преимущества, устранения вас как конкурента или подрыва вашей бизнес-стратегии. Кроме того, обиженный работник таким образом может попытаться вам отомстить. Причин много, и они столь же разнообразны, как сюжеты многочисленных детективных телесериалов. Проблемы безопасности изучаются годами, и один вывод предельно очевиден: большинство нарушений безопасности происходит при использовании известных уязвимостей, которые не были ликвидированы, несмотря на многочисленные предупреждения, а большинство злоумышленников может быть вам хорошо известно – это сотрудники, подрядчики или партнеры того или иного рода. В целом хакерские атаки нельзя назвать ни загадочными, ни оригинальными.

Также не стоит забывать, что обеспечение безопасности нельзя считать исключительно задачей ИТ и ОТ; это даже не технологическая проблема. Это забота топ-менеджеров. Внедряя IoT, ваша организация становится цифровым предприятием. Следовательно, вам нужны интегрированная, единая для всей компании стратегия безопасности и план управления рисками, который задействует всех сотрудников на всех уровнях. Безопасность должна стать важным аспектом должностных обязанностей каждого работника предприятия. Придавайте особое значение политикам, передовым практикам и инструментам обеспечения безопасности, включая их во всю свою деятельность. Обеспечьте обучение основам безопасности как внутри своей организации, так и в экосистеме партнеров по IoT (рис. 9.2) – пусть безопасность станет и их заботой.

Рисунок 9.2. Безопасность – ответственность каждого

Эффективная система безопасности IoT требует полной поддержки комплексного подхода, который объединяет безопасность данных с физической безопасностью высшего класса. Не считайте их изолированными сферами и не забывайте, что большинство кибератак осуществляется изнутри организации. Вот три аспекта физической безопасности, на которые стоит обратить внимание при разработке интегрированной стратегии безопасности:

• Продумайте решение ключевых проблем физической безопасности, включая проход неавторизованных лиц вслед за авторизованным персоналом сквозь оборудованные системой идентификации двери.