Рисунок 9.5. Угрозы безопасности и расходы на безопасность

В пресс-релизе приводятся слова директора Gartner по исследованиям Руггеро Конту, который предсказал, что, хотя к 2020 году более 25 % выявленных атак на предприятия будет связано с IoT, на обеспечение безопасности IoT будет тратиться менее 10 % бюджетов на информационную безопасность. Столь ограниченные бюджеты на IoT в сочетании с децентрализованным подходом к внедрению первых IoT-решений приведут к тому, что у поставщиков продуктов безопасности возникнут сложности с приоритетами IoT-решений в своих портфолио. Конту также ожидает, что многие поставщики выведут в приоритет выявление уязвимостей и обнаружение взломов, а не упоминавшуюся ранее сегментацию и долгосрочные меры, которые обеспечат более рациональный и архитектурно цельный подход к обеспечению безопасности IoT. Конту сказал:

«Ожидается, что в сфере безопасности IoT все больше внимания будет уделяться управлению устройствами и их данными, аналитике этих данных и настройке устройств. Бизнес-сценарии IoT потребуют разработки механизма доставки, который также сможет расти и развиваться вместе с требованиями к мониторингу, распознаванию угроз, контролю доступа и другим аспектам обеспечения безопасности».

Будущее облачных сервисов безопасности во многом связано с будущим IoT. Фактически фундаментальная сила IoT, которая заключается в его размахе и охвате, не будет полностью реализована, пока не появятся облачные сервисы безопасности, способные экономически эффективно функционировать во многих организациях. Gartner полагает, что к 2020 году более чем в половине всех внедряемых решений IoT будет использоваться тот или иной облачный сервис безопасности.

Мой личный опыт и наблюдения в целом соотносятся с выводами IDC и Gartner. Однако безопасность IoT нельзя считать исключительно технологической проблемой. Само собой, вам необходимо инвестировать в инструменты для работы с конкретными вопросами безопасности. Но гораздо важнее привлекать к обеспечению безопасности всю организацию, начиная с топ-менеджмента, и настаивать, чтобы решения принимались на основании обоснованного управления рисками, политик безопасности и оценки угроз. Далее вы сможете определить, какие технологии безопасности и какие инструменты минимизации ущерба вам необходимы.

Передовые практики безопасности

Решения по безопасности IoT все еще развиваются. Однако на основании множества встреч с предпринимателями и экспертами я выявил набор практик, которые отлично работают сейчас и продолжат хорошо работать в будущем. С большинством из них вы уже знакомы из предыдущих глав, но давайте все же кратко их перечислим:

• С самого начала разрабатывайте и создавайте интегрированную (комплексную) стратегию безопасности на уровне всего предприятия. Не оставляйте обеспечение безопасности на потом. Механизмы безопасности должны быть изначально интегрированы в ваши IoT-процессы.

• Сразу склоняйте топ-менеджеров к оценке угроз и управлению рисками. Угрозы безопасности ставят на кон их карьеры и предприятия, так что добейтесь, чтобы обеспечение безопасности IoT стало для них одной из важнейших задач. Топ-менеджеры должны знать, как оценивать угрозы и управлять рисками, и заниматься этим в рамках своей работы. Просите их применить оба подхода к оценке рисков IoT. (Возможно, им понадобится помощь при изучении конкретных вопросов и оценке объема работ.)

• По возможности внедряйте отраслевые стандарты. Специализированные решения подорвут фундамент вашей стратегии безопасности. По необходимости обращайтесь за советом к комитетам по стандартизации и торговым ассоциациям.

• Обеспечивайте безопасность повсюду – от главного центра обработки данных, находящегося за корпоративным сетевым экраном или за его пределами, до всех конечных устройств. Это означает, что вам необходимо будет настаивать на активном участии ваших партнеров и входящих в экосистему поставщиков в вашей стратегии безопасности.

• Автоматизируйте и непрерывно мониторьте безопасность IoT. Чтобы успевать следить за всеми событиями, встраивайте в свои решения интеллектуальные возможности и предиктивную аналитику, особенно аналитику на базе туманных вычислений. Предупреждайте сотрудников о необходимости принять меры сразу после выявления проблем. Даже в небольшой организации IoT быстро сведет на нет все попытки справиться с анализом данных вручную.