Читаем Интернет вещей. Новая технологическая революция полностью

По крайней мере, теперь мы знаем, что физическая изоляция завода от всего предприятия и интернета не работает. Обеспечение безопасности IoT требует комплексного, архитектурного подхода, распространяющегося и на физическую безопасность. Встречаясь с директорами по информационной безопасности, я неизменно призываю их брать под личный контроль архитектуру безопасности всей их организации, включая физическую безопасность и безопасность ОТ. Одни прислушиваются ко мне, другие нет. Третьи и хотели бы последовать моему совету, но им мешают внутренняя политика организации и синдром неприятия чужих разработок. Так что, если вы планируете внедрение IoT у себя, то подружитесь с директором по информационной безопасности. В долгосрочной перспективе эта дружба вам обоим пойдет на пользу.

И все же новые сценарии использования IoT, такие как V2V или скопления датчиков, бросают безопасности новые вызовы. Что вы можете сделать? Вот несколько рекомендаций для начала:

• Усовершенствуйте круговую оборону, внедрив надежные системы, которым под силу поглощать атаки, не прекращая работы.

• Оснастите организацию отказоустойчивыми устройствами и системами, которые продолжают работать даже во время атак.

• Отслеживайте поврежденные системы, данные и устройства для последующей компенсации ущерба.

• Следите за исследованиями в сфере безопасности IoT и деятельностью стартапов – они обычно уделяют основное внимание новым сценариям использования решений безопасности IoT и новым технологиям вроде блокчейна.

За последние пять лет безопасность IoT сделала огромный шаг вперед: от устаревшего подхода «безопасность через маскировку» в ОТ-средах и паники вокруг Stuxnet к беспорядочным стратегиям латания дыр. Сегодня организации наконец-то начинают брать на вооружение более зрелый подход, разрабатывая комплексные и гибкие архитектуры безопасности. Хотя в целом – как отрасль, как потребители, как поставщики решений – мы становимся более подкованными в вопросах безопасности, я все еще встречаю множество предпринимателей, которые упрямо цепляются за устаревшие подходы. Многие организации противятся слиянию ИТ и ОТ и избегают разработки и внедрения единых архитектур безопасности. Некоторые директора по информационной безопасности не верят, что эти архитектуры подходят для сред ОТ. Ряд организаций продолжает отрицать изменения, внедряет неподходящие стратегии безопасности или заново изобретает велосипед, решая проблемы, которые их коллеги из ИТ успешно разрешили много лет назад. Более того, я до сих пор встречаю множество поставщиков решений, которые цепляются за свои устаревшие подходы, предлагая специализированные решения или ИТ-продукты, кое-как адаптированные для все более сложных и стандартизированных промышленных сред и протоколов. Очевидно, что необходимо организовывать больше учебных программ и призывать людей делиться передовыми практиками. Не забывайте, мы только начинаем наш путь к безопасности IoT.

«Безопасность – это ключевой фактор достижения успеха, получения финансовой выгоды, открытия новых возможностей, обеспечения уверенности и доверия людей, организаций и целых государств. Низкий уровень безопасности, напротив, приводит к утечке ресурсов и подрывает доверие к системе. Следовательно, организации должны понимать, что безопасность – движущая сила бизнеса, и ее необходимо обеспечивать, чтобы конкурировать и выделяться на рынке, где правит IoT. Они должны нацелиться на разработку и внедрение стратегий безопасности и подходить к ним комплексно, продумывая архитектуру, аналитику, управление, обеспечение конфиденциальности и неприкосновенности данных. Не менее важно, чтобы все команды сотрудников обладали должным уровнем знаний и навыков, удовлетворяющим всем требованиям связанного мира», – заметила Бола Ротиби, директор по научно-исследовательской работе и основатель компании Creative Internet Consulting, занимающейся консалтингом и аналитическими исследованиями.

Если вы читаете эту книгу и намереваетесь стать идеологом IoT в своей организации, вам тоже надо будет поддерживать внедрение комплексной, основанной на политиках, архитектуры безопасности IoT. Если вы приступите к внедрению IoT, не обдумав вопросы безопасности, то хорошего не ждите. Не считайте обеспечение безопасности отдельной задачей; внедряйте решения по безопасности в вашу систему с самого первого дня. Без помощи вы не останетесь – как я уже говорил, начните с разговора со своим директором по информационной безопасности и убедите его встать на вашу сторону. После этого, как я обозначил в первой главе, каждой организации необходимо сделать следующее: