На вопрос что это такое, могу ответить – да это и страшилки и одновременно правда. А вот что делать дальше – неизвестно. Почему?[spoiler]
Да потому что прежде всего нужно ответить, для кого важна безопасность IoT? И кто применяет эти устройства?
IoT сегодня чаще всего это рынок все же персональных устройств. Мне могут возразить, мол, а как же медицина? А сколько вы видели медицинских центров, оборудованных подобными устройствами? Много? Нет! А раз так – значит пока это не проблема. Да и пробиться к такому устройству нужно либо взломав сетевую защиту, либо имея своего сотрудника внутри. Не так?
Персональные устройства.
Здесь намного сложнее. Почему? Да потому что безопасность персонального пользователя – это не более чем его личные неприятности. Кто сегодня всерьез озабочен персональным пользователем? Никто! Почему? Да потому что перед вами наглядный пример в лице пользователей Android. Уязвимости и зловреды, их использующие появляются часто? Безусловно. А патчи для уязвимостей?
Вот-вот. Гораздо проще выпустить новое устройство и заставить пользователя его купить (это и выгоднее), а патч… Над ним нужно работать. Деньги это принесет? Нет!
Так же будет (и уже есть) с IoT. Кому нужно писать новое ПО? Денег оно не принесет. А в погоне за прибылью, как я уже писал, безопасность всегда будет проигрывать!
Вывод, который можно сделать, весьма прост. IoT это модно, это интересно, а безопасность… Безопасность пока только на уровне разговоров. И не более того! В крайнем случае безопасность IoT вам обеспечивает ваш домашний роутер. И не более того. Все остальное – благие намерения.
Если это действительно проблема, то в условиях рынка она решается достаточно просто. Кому нужна ИБ? Прежде всего, бизнесу, который зарабатывает на ИБ. Если этот бизнес считает, что в каком-то сегменте мало ИБ, то он начинает массовую агрессивную информационную компанию, цель которой — убедить покупателя отказаться от приобретения небезопасной продукции.
На пищевом рынке такое сплошь и рядом — постоянно читаю о том, что в каких-то категориях продуктов сплошь канцерогены.
На самом деле это не так. Просто о решениях для обеспечения IoT-безопасности пока говорят в основном на закрытых коммерческих IoT-конференциях (кои в последнее время проводятся едва ли не каждую неделю). Не предавая соответствующие доклады гласности. И это, видимо, правильно. Зачем рассказывать "потенциальным противникам" об особенностях своих "оборонительных сооружений". Чтобы облегчить им поиск "уязвимых мест"?
В то же время понятно, что чем сложнее устройство, тем оно, как правило, уязвимее. Уже известны случаи, когда злоумышленники получали полный контроль над "умным автомобилем". То есть посредством беспроводных технологий могли в любой момент повернуть в любую сторону руль этого автомобиля, ударить по тормозам или, наоборот, резко увеличить скорость...