Читаем Сети города. Люди. Технологии. Власти полностью

Наш подход основан на убеждении, что использование цифровых систем и сетевых технологий в менеджменте и управлении городом уже стало реальностью и будет только расширяться в будущем. Поэтому нам и нужна стратегия обеспечения безопасности умных городов, которая будет распространяться за пределы исключительно технологических решений.

Существуют две ключевые группы рисков, связанных с увеличением количества и ростом умных городов. Первая касается степени защищенности самих цифровых технологий – вновь устанавливаемого «умного» оборудования или «умных» обновлений существующей инфраструктуры. Основной вопрос здесь, насколько те и другие уязвимы для хакерских атак.

Вторая группа рисков – это недостаточная защищенность данных, которые постоянно генерируются, сохраняются и передаются указанными выше технологическими системами. Конечно, первая группа рисков непосредственно связана со второй, так как несанкционированный доступ к данным часто становится возможным, только если есть уязвимые места в безопасности системы. С этой точки зрения информационная безопасность (защита данных) конвергирует с операционной безопасностью, то есть с безопасностью системы. Поэтому можно рассматривать уязвимые места городских систем и инфраструктур и не сосредоточиваться непосредственно на безопасности данных как таковой. Главная опасность для городских систем – это так называемые кибератаки, которые могут быть трех видов:

– кибератаки, перекрывающие доступ к системе;

– кибератаки на конфиденциальность данных, цель которых – извлечь информацию или мониторинг действий пользователей;

– кибератаки против целостности системы, цель которых – изменить настройки и/или информацию (такие как снятие ограничений, стирание защитных программ, внедрение вирусов и т. п.)[214].

Кибератаки могут производиться различными организациями и лицами, от служб государственных внешних разведок и военных организаций, террористических групп, организованной преступности, хакерских групп, активистских сообществ до скучающих тинейджеров, одиноких мстителей и «кодящих ребятишек». Бывший директор ФБР Роберт Муэллер еще в 2015 году заявлял, что не менее 108 государств уже финансировали состоящие при правительстве «отделы кибератак», нацеленные на критически важные инфраструктуры или занимающиеся промышленным шпионажем[215]. Какими бы сенсационными или анекдотическими ни были постоянные сообщения о кибератаках в медиа, тем не менее они сигнализируют о росте числа киберпреступлений, таких как подлог или кража, особенно сейчас, когда распространились так называемые рандомные атаки на организации со стороны преступных групп[216].

В целом кибератаки используют одну из пяти проблем цифровых технологий, связанных с системами умных городов.

Первая проблема – это слабая защита программного обеспечения и шифрования данных. Исследование Университета Карнеги – Меллона, проведенное, правда, в далеком 2004 году, показало, что в среднем на 1000 строк кода приходится около 30 ошибок или багов, которые потенциально могут стать «замочной скважиной» для кибератак[217]. В типичных больших системах, которые устанавливаются в городах, – миллионы строк кода и, следовательно, тысячи потенциальных атак «нулевого дня» (пока неизвестных уязвимых мест в защите), которые могут быть осуществлены с помощью вирусов, программ для взлома и прямых хакерских атак. Исследования специалистов по цифровой безопасности показали, как много систем умных городов было создано с минимальными защитными механизмами или вообще без таковых[218]. Например, с помощью «Шодана»[219] (www.shodan.io) можно обнаружить все виды устройств и систем управления, подключенных к интернету, – от сетевых термостатов для систем центрального отопления до систем контроля транспорта и даже центров управления атомными электростанциями, – и исследование показало, что безопасность этих центров обеспечивается слабо или вообще не обеспечивается (например, на некоторых вообще отсутствует идентификация пользователя, а там, где она есть, зачастую используются слабые пароли, такие как admin, 1234). Более того, городские администрации и другие покупатели технологий умного города часто внедряют их безо всякого тестирования на кибербезопасность[220]. В случае «интернета вещей» (IoT) сложно быть уверенным в «сквозной» безопасности, так как многие сенсоры и устройства с низкой мощностью, которые присутствуют на рынке, не обладают достаточными компьютерными возможностями, чтобы поддерживать зашифрованную сетевую ссылку[221]. А там, где шифрование присутствует, сами способы его использования могут стать причиной проблем с безопасностью[222].