Введение. Сложно оценить весь спектр устройств, относящихся к ИВ. Каждая сфера человеческой жизнедеятельности имеет собственный тип данных устройств, от бытовых приборов из состава умных домов до охранных систем и медицинского оборудования. Важной задачей каждой организации является определение полного объема устройств ИВ, который они используют. Многие организации на сегодняшний день не обращают на это должного внимания зачастую даже не подозревая, что используют именно устройства ИВ. Следующей задачей является определение характеристик используемых устройств и их влияния на риски кибербезопасности и конфиденциальности.
Постановка задачи. Необходимо сформулировать основные принципы безопасного использования устройств ИВ при их применении для решения задач предприятиями промышленности.
Решение задачи. Исходя из анализа применения устройств интернета вещей предприятиями промышленности, предлагаются следующие решения поставленной задачи.
- Многие устройства ИВ взаимодействуют с физическим миром. Потенциальное влияние некоторых устройств, вносящих изменения в физические системы и тем самым влияющих на физический мир, должно быть явно оценено и рассмотрено с точки зрения кибербезопасности и конфиденциальности. Кроме того, оперативные потребности для обеспечения информационной безопасности при взаимодействии в системе устройство – внешний мир, должны становиться в один ряд с другими потребностями системы безопасности предприятия.
- Многие устройства из состава интернета вещей не могут управляться или контролироваться одинаковым способом. Для обеспечения безопасности удаленного контроля и управления устройствами ИВ необходимо повышать уровень подготовки персонала, их понимания основ данных процессов управления, а также устанавливать актуальные для используемых устройств систем управления средства защиты информации.
- Для эффективного управления рисками при использовании устройств ИВ, необходимо рассматривать обеспечение безопасности данных устройств, по трем составляющим:
– Безопасность устройства. Данная составляющая подразумевает предотвращение использование данного устройства для проведения атаки (в том числе участия в распределенных атаках типа «отказ в обслуживании») как против своей, так и против других организаций. Также необходимо предотвратить прослушивание сетевого траффика или компрометацию других устройств (в том числе, не относящихся к ИВ) в данном сегменте сети. Эта составляющая применима ко всем устройствам ИВ. Она решается методом непрерывного управления активами. Это подразумевает ведение текущей точной инвентаризации всех устройств ИВ, их наиболее важных характеристик на протяжении всего их жизненного цикла. В том числе необходимо своевременно выявлять и устранять уязвимости рассматриваемых устройств, их аппаратного и программного обеспечения для исключения возможности эксплуатации данных уязвимостей. Управление доступом к устройствам ИВ должно исключать любую возможность несанкционированного доступа к ним злоумышленников. Организация мониторинга состояния и анализа активности устройств, должна обеспечивать своевременное обнаружение инцидентов информационной безопасности.
– Защита данных. Защита конфиденциальности, целостности, доступности информации собирающейся, обрабатывающейся или передающейся с использованием устройств ИВ. Эта составляющая применима ко всем устройствам ИВ, которые работают с данными. Это подразумевает исключение несанкционированного доступа к информации как во время передачи, так и при хранении. Организация аудита доступа к таким данным должна полностью исключать возможность скрытного ознакомления с ними.
– Защита персональных данных физических лиц. Подразумевает выполнение требований второй составляющей для устройств, обрабатывающих персональные данные, либо влияющих на людей. Это означает, что помимо основных требований по защите обрабатываемой информации, необходимо выполнять требования действующего законодательства по обработке персональных данных. Это подразумевает наличие возможности наблюдения за жизненным циклом таких данных, включая тип данных, место их хранения либо обработки. Необходимо также определить порядок обработки персональных данных.
Каждая из данных составляющих не заменяет и не отрицает другую составляющую. Они все обязательны к выполнению и по-своему снижают риски кибербезопасности и конфиденциальности. Данные требования предназначены для того, чтобы их учитывали при составлении политики безопасности предприятия. При этом стоит избегать путаницы и двусмысленности, а также учитывать нормативно-правовую базу, под которую попадает деятельность предприятия. Однако, просто закрепить их недостаточно. Необходимо, чтобы должностные лица, ответственные за безопасность процессов, связанных с устройствами ИВ разработали четкую систему действий по реагированию на инциденты информационной безопасности, которые могут взывать рассматриваемые устройства так как не всегда проблемы, вызванные с устройствами ИВ могут быть решены теми же методами, что и проблемы, вызванные устройствами ИТ и ОТ. Обычные устройства ИТ могут иметь подобные возможности. Например, большинство ноутбуков имеют аналогичное хранилище данных и возможности их обработки, дружественный пользовательский и сетевой интерфейсы, поддержку таких возможностей, как централизованное управление. Это позволяет организациям определить, как реагировать на инциденты информационной безопасности для каждого типа ИТ-устройств, определить оптимальные настройки для достижения требуемого уровня защищенности. Однако, организация может иметь гораздо больше типов устройств ИВ, чем обычных ИТ. Возможности рассматриваемых устройств варьируются широко от одного типа к другому, у одного типа не хватает объема для хранения данных и отсутствует централизованная возможность управления, другой тип, имеет многочисленные датчики и приводы, использует возможности удаленного хранения и обработки данных, и может быть соединён с несколькими внутренними и внешними сетями. Разнообразие возможностей вызывает колебания в оценках рисков кибербезопасности и конфиденциальности, связанных с каждым типом устройства ИВ. Кроме того, способ использования устройства может указывать на то, что одна цель безопасности, такая как целостность, является более важной, чем другая, такая как конфиденциальность, что в свою очередь означает, что необходимо иметь различные механизмы реализации данных целей безопасности. Аналогично, устройство может быть использовано таким образом, чтобы некоторые из его возможностей не нужны и могут быть отключены, что может уменьшить риски конфиденциальности, связанные с данным устройством.
Вывод. Несмотря на широкое многообразие различных устройств ИВ, которых с каждым днем становится всё больше, нельзя недооценивать потенциальную опасность, которую они представляют для системы информационной безопасности предприятия. Также недопустимо их сравнение с обычной офисной техникой, компьютерами и другими ИТ устройствами. Для каждого из использованных устройств необходимо четко определять вызываемые ими риски и безопасные методы работы с ними. Приведённые выше принципы безопасного использования данных устройств станут хорошим дополнением политики безопасности предприятия, использующего данные устройства.