• Сегментируйте IoT-трафик и обычный трафик ИТ-сетей и используйте мультиарендную сетевую инфраструктуру для изоляции проблем. Используйте сегментацию и другие знакомые процессы, но в то же время сотрудничайте с поставщиками ИТ-услуг, чтобы расширить набор их программного обеспечения и инструментов для работы с уязвимостями в сфере безопасности IoT. Не поддавайтесь соблазну внедрения специфических для IoT инструментов.

• Организуйте обучение практикам безопасности для всех сотрудников своей организации, а также для партнеров по экосистеме. Кроме того, регулярно обновляйте защиту IoT. В результате, как я уже говорил, безопасность должна стать приоритетом для каждого.

Я мог бы продолжать и дальше, но так мы зайдем в самые дебри безопасности. Чтобы найти больше информации о передовых практиках безопасности IoT, поговорите со своим директором по информационной безопасности или с представителями отраслевой ассоциации.

Проблемы безопасности IoT

Главная проблема управления рисками и оценки угроз заключается в ожидаемом огромном размахе IoT. На страницах этой книги мы уже говорили о миллиардах сетевых устройств. Само собой, многим не придется работать с таким их количеством, но не надо быть огромной организацией, чтобы иметь дело с миллионом устройств, учитывая устройства партнеров. Даже если вы располагаете всего лишь несколькими десятками тысяч сетевых устройств, их все равно слишком много, чтобы попытаться обеспечить безопасность без автоматизированных инструментов аналитики, настройки, мониторинга и т. п. Всего одна тысяча сетевых устройств может круглосуточно генерировать гигантские объемы данных и огромное количество предупреждений, тем самым перегружая все, кроме автоматизированных, интеллектуальных (основанных на правилах или политиках) масштабируемых инструментов и технологий.

Дополнительные проблемы создает большое разнообразие устройств, включая различные типы контроллеров, мониторов, счетчиков и других приборов. Многие из них могут принадлежать партнерам, так что ваше представление об их работе будет, скорее всего, ограничено – не говоря уже о том, что вам будет затруднительно понимать их данные и настраивать взаимодействие. Уверяю вас, даже если вы одержимы стремлением все контролировать, вы не сможете постоянно мониторить все устройства своей организации.

Решение этой проблемы довольно очевидно, но внедрить его непросто: вам необходимо организовать сотрудничество внутри экосистемы. Если ваша экосистема с самого начала формировалась с оглядкой на сотрудничество – как и должно быть, – логично будет внедрить в нее средства коммуникации и сотрудничества в сфере безопасности, основанные на общей архитектуре и политике.

Конфиденциальность

Сегодня уже все наслышаны об опасениях, связанных с конфиденциальностью клиентов. В мире B2B вопрос конфиденциальности в настоящий момент стоит не так остро, но игнорировать его ни в коем случае нельзя. Недавно я обсуждал эти вопросы на рынках B2B2C с несколькими специалистами по обработке данных. Одной из главных тем были проблемы уровней доступа и согласия на обработку информации – в частности, речь шла о том, как и какими данными делиться, как минимизировать ущерб от их утечки, как их рандомизировать и обезличивать, а также на каком уровне анализировать пользовательские данные, чтобы извлекать из них необходимые сведения, не жертвуя неприкосновенностью личной информации пользователя. В индустрии обсуждаются различные подходы к этим вопросам, включая техники вроде деидентификации и присвоения псевдонимов. В полной мере эти проблемы не будут решены и через много лет после публикации этой книги (если вообще будут решены хоть когда-нибудь), поэтому просто держите руку на пульсе.

В мире B2B главные проблемы конфиденциальности несколько отличаются. Они попадают в одну из следующих категорий:

• Данные сотрудников. Как правило, компании придерживаются следующего правила: вся информация, которую пользователи загружают на принадлежащие компании устройства или в инфраструктуру предприятия, находится под контролем организации. Сотрудники имеют право получать доступ к этим данным и/или осуществлять их мониторинг. Однако это предполагает, что сотрудники разрешают загрузку своих данных на устройства компании или сами загружают их в сети организации. Это сводит проблемы конфиденциальности к необходимости четкой коммуникации правил – сотрудники должны быть знакомы с политиками компании и их следствиями.