Профессиональные справочные системы для специалистов
16.01.2019
Международные стандарты ИСО и МЭК прокладывают путь интернету вещей

     Около 2 десятилетий назад британский изобретатель и футурист Кевин Эштон придумал фразу "интернет вещей" (Internet of Things, IoT), когда работал в компании Procter & Gamble. Эштон продемонстрировал, как его работодатель может использовать для отслеживания продуктов беспроводную радиочастотную идентификацию RFID, которая сейчас широко применяется при осуществлении бесконтактных платежей, в ходе применения смарт-карт и решения других задач. Впоследствии термин "интернет вещей" прочно укоренился в технологическом сообществе.

     В конце 2018 года специалисты Международной организации по стандартизации (International Organization for Standardization; ISO; ИСО) совместно с коллегами из Международной электротехнической комиссии (International Electrotechnical Commission; IEC; МЭК) опубликовали стандарт ИСО / МЭК 30141:2018 "Интернет вещей (loT) - Эталонная архитектура".

     Этот документ стал первым в мире стандартом на унифицированную эталонную архитектуру интернета вещей, который представляет собой сложную систему из миллиардов интеллектуальных устройств, соединенных через интернет. Ожидается, что распространение и применение стандарта сделает IoT-экосистему значительно более эффективной, отказоустойчивой и безопасной.

     Несколько лет назад в рамках ИСО и МЭК был создан новый подкомитет, который полностью сосредоточился на разработке стандартов вроде ИСО / МЭК 30141:2018 для удовлетворения потребностей субъектов быстро растущего сектора IoT. И ценность таких стандартов недавно наглядно продемонстрировали несколько громких атак на экосистему интернета вещей.

     Официальное определение IoT, сформулированное ИСО и МЭК, звучит так: "инфраструктура взаимосвязанных объектов, людей, систем и информационных ресурсов вместе с услугами, которые обрабатывают и реагируют на информацию из физического мира и из виртуального мира".

     Если проще, IoT - это сеть компьютеризированных и зачастую беспроводных устройств, которая позволяет нам, как и машинам, видеть, ощущать и даже контролировать большую часть окружающего нас мира, как на индивидуальном уровне, так и в более широком глобальном масштабе.

     Устройствам и системам IoT находится применение в большинстве сфер современной жизни, если не во всех ее областях. Некоторые из них уже хорошо известны и широко используются потребителями как из числа простых обывателей, так и крупных корпораций. Однако крупнейшими пользователями IoT сейчас выступают именно компании: субъекты промышленности, медицинского, муниципального и сельскохозяйственного секторов.

     Проще говоря, любая технология или устройство с префиксом "смарт" (умные / интеллектуальный / smart) в названии, вероятно, будет частью быстрорастущего семейства IoT-решений. Например, умные счетчики, смарт-карты, интеллектуальные фитнес-трекеры, умные города, смартфоны, умные часы, интеллектуальное сельское хозяйство, интеллектуальное здравоохранение и даже умное производство, которое, как ожидается, станет основой для следующей промышленной революции.

     В совокупности IoT-решения могут сделать нас более связанными, осведомленными и эффективными, а также менее расточительными. Но при неправильном обращении эта концепция может сделать наши компьютерные сети и наши данные менее защищенными. Ведь именно относительная простота устройств IoT создает столько же проблем, сколько и возможностей.

     С этим соглашаются специалисты подкомитета (ПК) 41 "интернет вещей и смежные технологии" при совместном техническом комитете (СТК) ИСО / МЭК СТК 1 "информационные технологии", которые подготовили помимо прочего и стандарт ИСО / МЭК 30141:2018.

     ИСО и МЭК основали СТК 1 / ПК 41, чтобы сосредоточиться на стандартах для IoT, в то время как сам СТК 1 отвечает за международную стандартизацию в области IT-решений и уже опубликовал более трех тысяч стандартов с момента своего создания в 1987 году.

     Специалисты СТК 1 / ПК 41 отмечают, что проблемы взаимодействия (или способность устройств IoT соединяться друг с другом и другими системами) и безопасности взаимосвязаны. Технологии развиваются постоянно и достаточно быстрыми темпами. Поэтому добавление новых устройств в сеть происходит быстро и часто по мере появления лежащих в основе таких устройств новых технологий.

     Ситуация осложняется тем, что рост IoT-инфраструктуры является экспоненциальным. Предполагается, что уже к 2020 году во всем мире будет до 50 миллиардов подключенных к сети устройств IoT. А оборот соответствующего рынка, предположительно, будет составлять триллионы долларов США.

     2016 год, в котором был основан СТК 1 / ПК 41, был также годом неприятных сюрпризов для производителей и пользователей устройств IoT из-за некоторых громких атак на сети через такие устройства.
     
     Например, атака "Mirai Botnet" парализовала большую часть интернета в восточной части США, что стало крупнейшим ударом по инфраструктуре "глобальной паутины" на сегодняшний день.

     Многие были удивлены тем, насколько быстро распространяется вредоносный код, и насколько легко хакеру удалось проникнуть в предположительно безопасные сети. Так как же это случилось? Все благодаря умелому использованию уязвимости "самого слабого звена в цепи" в виде устройств IoT.

     Создатель "Mirai Botnet" изначально нацелился на такие подключенные к интернету устройства, как беспроводные камеры видеонаблюдения и умные телевизоры, которые продаются с предустановленными одинаковыми именами и паролями администратора по умолчанию. Производители изготавливают миллионы устройств с одинаковыми данными для входа в панель администрирования.

     Атакующий перебирает комбинации имени администратора и пароля по очереди, пока атака не увенчалась успехом, после чего берет на себя управление устройством. Имея под контролем более ста тысяч таких устройств, злоумышленник может генерировать интенсивные атаки типа "отказ в обслуживании" (DDoS), которые способны временно отключать часть интернета даже в США.

     В ходе другого хорошо задокументированного взлома фабрика была саботирована с помощью атаки с применением методов социальной инженерии в отношении пользователей административных персональных компьютеров. Как впоследствии оказалось, со взломанных ПК можно было получить доступ к промышленным производственным системам. Этого бы не произошло, если бы промышленные производственные системы были изолированы от административных ПК, подключенных к интернету, посредством надлежащей сегментации сети.

     Что еще более важно, сеть могла бы быть намного более безопасной, если бы ее создатели и администраторы просто применяли хорошо задокументированные процессы и процедуры, уже описанные во многих стандартах, таких как серия ИСО / МЭК 27033 для методов обеспечения IT-безопасности.

     В том же году группа израильских исследователей продемонстрировала возможность взлома осветительных сетей с помощью модифицированного летающего беспилотника и использования уязвимости в популярной умной лампочке. Просто обходя меры безопасности только в одной лампочке, они cмогли заразить другие лампочки, соединённые с первой через сеть, и затем взять их под контроль.

     Исследователи сообщили, что если в городе достаточно умных лампочек, использующих те же протоколы связи, то в ходе атаки на них злоумышленники могут легко получить доступ и заразить всю сеть лампочек в течение нескольких минут.

     Несмотря на то, что это был экстремальный сценарий, он продемонстрировал потенциал для массивных злонамеренных атак в якобы защищенных сетях, используя незадокументированные уязвимости в простых устройствах с подключением к интернету.

     Проблема устройств IoT заключается в их простоте в сочетании с непреднамеренным созданием уязвимостей производителями. И эта проблема лишь усугубляется, если конечные пользователи игнорируют свою безопасность.

     Многие такие устройства представляют собой упрощенные мини-компьютеры с низким энергопотреблением и компактной операционной системой, основанной на широкодоступной операционной системе Linux, которая пользуется весьма высокой популярностью среди хакеров.

     Поэтому, когда пользователи не применяют строгие стандарты безопасности, эти факторы делают IoT растущей мишенью для атак. Поддерживать работоспособность и устойчивость IoT призваны международные стандарты. Как? Например, серия стандартов ИСО / МЭК 29192 определяет методы криптографии, которые идеально подходят для маломощных и простых устройств.

     В примере с лампочкой израильские исследователи рекомендовали особую методику защиты, описанную в тексте входящего в эту серию документа ИСО / МЭК 29192-5 "Информационные технологии - Методы защиты - Облегченная криптография - Часть 5: Хэш-функции".

     Основа уже была заложена. Но, как и в случае любого другого развивающегося сектора, со временем потребуются новые стандарты. И подготовкой таких документов будет заниматься СТК 1 / ПК 41, нацеленный, прежде всего, на безопасность.
     
     
     По материалам:
     https://www.novotest.ru