Ако доскоро изразът "И стените имат уши" се използваше по-скоро в преносен смисъл, в наши дни той не само че може да бъде използван в напълно пряк смисъл, но и да бъде актуализиран - "И стените имат уши очи и сетива". Според последното изследване на ABI Research към днешна дата в света има 8,6 милиарда IoT връзки, които до 2026 г. ще се увеличат близо три пъти, достигайки до 23,6 млрд. Този експоненциален растеж се очаква да доведе до нови нива на свързаност, осигурявайки неимоверно по-висока производителност на голяма част от индустриите в следващите години, но също така поставя и сериозни въпросителни по отношение на сигурността на тези системи от ново поколение.
Анализаторите на компанията посочват четири основни причини, които предизвикват сериозни опасения относно сигурността на този нов тип свързаност. "В резултат на ограничени ресурси, възможности за обработка и изчислителен капацитет някои устройства не могат да бъдат достатъчно защитени по дизайн. Производителите на оборудване и доставчиците от своя страна често избират да приемат риска, вместо да го калкулират и оптимизират по време на своите анализи на разходите и ползите от дадени системи, ако въобще правят такива. В същото време често при IoT устройствата постоянното им функциониране и достъп до тях са най-важни за организациите, което пречи да се гарантира на достатъчни нива поверителността на данните. Не на последно, пазарът на решения за сигурност на IoT е ограничен, тъй като индустрията за производство на подобни устройства е твърде фрагментирана, обясняват анализаторите в своя доклад CONNECTED & PROTECTED: The vulnerabilities and opportunities of IoT security и добавят: Въпреки че тези пропуски в сигурността са значително предизвикателство за компаниите и крайните потребители, те също така представляват огромна възможност за играчите в IoT пространството, включително доставчици на IoT услуги и устройства, оператори на платформи, както и за организациите в сферата на киберсигурността."
Нови възможности на пазара на IoT сигурност
Според данните на ABI Research пазарът на инструменти за IoT сигурност ще преживее истинска революция в рамките на следващите пет години, като очакваният ръст в сектора достига 400%. Ако през 2020 г. той е генерирал около 3,8 млрд. долара, през 2026 г. се очаква това число да достигне 16,8 млрд. От компанията очертават и три основни клъстера на пазара на IoT сигурност на базата на нивата на защита, нужни за различните индустрии.
В групата Low-Security Requirements попадат селското стопанство, проследяването на активи, домакинските уреди, домашният мониторинг, сигурност и автоматизация, инвентаризацията, проследяването на домашни любимци, интелигентните паркинги, умното улично осветление и др.
Вторият списък - Moderate-Security Requirements - включва вторичните пазарни услуги (диагностика, актуализации, хелпдеск поддръжка и т.н.), автоматизацията на търговски сгради, мониторинга на автопаркове, газомерите, тежкия транспорт, интелигентните мрежи, видеонаблюдението и управлението на интелигентни измервателни уреди.
Клъстерът с най-високи изисквания към сигурността - High-Security Requirements, обхваща банкомати, здравен мониторинг, интелигентен транспорт, телематика на производството и застрахователната дейност и т.н.
"Размерът на разходите за IoT сигурност невинаги е в пряка корелация с количеството връзки в даден сектор и се очаква някои пазари да генерират несъразмерни приходи. Това се дължи на различните изисквания към сигурността и управлението на устройствата, които гарантират възможност за други ключови процеси и услуги, включително разузнавателни операции и анализи, управление на жизнения цикъл и изпреварваща поддръжка, актуализации на фърмуера и гарантиране на целостта и неприкосновеността на данните и устройствата. Очаква се клъстерът, който включва устройства с висок профил на защита като банкомати, ПОС терминали, здравни инструменти и услуги, да генерира по-голямата част от приходите на пазара на IoT сигурност и да се разрасне от 2,4 милиарда долара през 2020 г. до 10,8 млрд. долара през 2026 г.", категорични са от ABI Research.
Докладът също така класифицира услугите за IoT сигурност в четири основни категории - защита на устройства, мрежова и комуникационна сигурност, сигурност на данните и сигурност на приложенията.
"Очаква се мрежовата защита да донесе по-голямата част от приходите предимно заради подсигуряването на облака и безжичната свързаност. Приходите от категорията сигурност на устройствата ще бъдат обуславяни предимно от желанието за подсигуряване на процесите по предоставянето и управлението им, последвано от услугите за криптиране и защита на хардуера, eSIM мениджмънта и интеграцията на сигурен фърмуер", обясняват анализаторите и дават някои съвети на различните групи потребители на IoT.
Съветите на експертите
По отношение на крайните потребители и компаниите от ABI Research препоръчват интеграцията на услуги за сигурност като средство за гарантиране на идентичността на IоT устройствата и веригата за създаване на стойност. Освен това те осигуряват повишена възвръщаемост на вече направените инвестиции, помагат на инфраструктурата да е готова да отговори при нарастване на нуждите от мащабируемост, както и да се придобие яснота за това кои видове услуги и инструменти (облак, локални инсталации, сървър или устройства) в коя група попадат - основни операции, които трябва да бъдат защитени на всяка цена, услуги с добавена стойност за генериране на приходи или вторични, макар и полезни системи, чието използване може да бъде преразгледано и ограничено, ако е необходимо.
"Първата група е призвана да защитава всички жизнени функции на системата. Втората ще осигури стабилни нива на възвръщаемост с течение на времето, а третата може да се прилага на потребителско ниво или да се ограничи, ако организацията се е насочила към по-рентабилна опция и свързаните с нея вектори на заплаха не засягат ключовите операции", коментират още от ABI Research. "Като знаят кои комуникации, устройства и сървъри са правилно управлявани и обезпечени, организациите могат да се съсредоточат върху най-уязвимите си входни точки, например отдалечени промишлени комуникации, да намалят изложената на заплаха повърхност от своите системи, да получат по-точно разбиране за това, което се очаква да правят инструментите за сигурност, а също така и да определят какви възможности предлагат доставчиците на сигурност, които колегите им от облачната индустрия например не могат да предложат."
Стратегическите препоръки към доставчиците и продавачите на инструменти за IoT сигурност включват наличието на дигитални сертификати, ключова публична инфраструктура (PKI) и услуги за управление на вътрешни сертификати. Основната услуга за сигурност винаги включва управление на идентичността на устройствата, което може да бъде постигнато както чрез PKI, така и чрез вътрешно управлявани сертификати. В същото време дигиталните сертификати са свързани преди всичко с асиметрично базираната криптирана комуникация между два или повече обекта чрез използване на PKI.
Тук идва ред на т.нар. сертификационни органи - трети страни, които предлагат различен набор от услуги за сигурност като засекретен одит на системите - но тяхната дейност може да бъде интегрирана и вътрешно в организацията. В подобни случаи компаниите издават свои вътрешни сертификати, които подкрепят криптирането на устройства, софтуер, уебсайтове и потребителски профили, но външните сертификационни органи могат да бъдат полезни и тук, без реално да участват в цялостния процес.
"Според голяма част от нашите респонденти взаимодействието с трети страни често поражда сериозни проблеми в някои региони - особено в Азиатско-Тихоокеанския регион, където производствените играчи крадат интелектуална собственост и корпоративни тайни от своите партньори. Мнозина от тях очакват, че хардуерният дизайн, софтуерът, приложенията или свързаната с тях архитектура за програмиране и дизайн ще бъдат копирани по един или друг начин от собствените им производствени партньори", се казва в изследването CONNECTED & PROTECTED: The vulnerabilities and opportunities of IoT security.
Сигурни производствени услуги могат да се предлагат като PaaS или IaaS, като се използва виртуализиран хардуер в индустриална среда. Индустриалните играчи могат също така да се възползват от виртуални центрове за данни, използващи IaaS, което ще им позволи известна гъвкавост спрямо постоянните нужди от мащабиране на инфраструктурата. Подходът IaaS може да осигури тази гъвкавост при поискване чрез виртуализиран хардуер, който от своя страна също може да бъде преоборудван с допълнителни услуги за сигурно производство и инсталиране на фърмуер.
"Изследванията и пазарната информация, събрана от организации за сигурност като Агенцията на Европейския съюз за киберсигурност (ENISA) и IoT Security Foundation, както и от водещи компании като Intel, Microsoft, Thales и Qualcomm, показва, че многообразието и сложността на киберзаплахите ограничават внедряването на IoT. Единственото решение е мерките за сигурност да са на еднакво високо ниво по цялата верига на стойност, вместо да са концентрирани върху специфични компоненти.
Тази мрачна оценка се споделя от множество доставчици в сферата на сигурността като Cisco, Symantec, Entrust, Palo Alto и McAfee, а появата на 5G свързаността ще увеличи значително заплахите, които грозят IoT. Количеството на DdoS атаките се очаква също да нарасне с течение на времето", предупреждават в заключение от ABI Research.
В крайна сметка обаче надежда има. Стените наистина вече може и да имат уши, очи и сетива, но само от нас, хората, от нашето знание и отношение към собствената ни безопасност зависи кой ще вижда, слуша и усеща през тях.
Материалът е публикуван в бр. 5 на сп. CIO България, който може да откриете тук.
Ако доскоро изразът "И стените имат уши" се използваше по-скоро в преносен смисъл, в наши дни той не само че може да бъде използван в напълно пряк смисъл, но и да бъде актуализиран - "И стените имат уши очи и сетива". Според последното изследване на ABI Research към днешна дата в света има 8,6 милиарда IoT връзки, които до 2026 г. ще се увеличат близо три пъти, достигайки до 23,6 млрд. Този експоненциален растеж се очаква да доведе до нови нива на свързаност, осигурявайки неимоверно по-висока производителност на голяма част от индустриите в следващите години, но също така поставя и сериозни въпросителни по отношение на сигурността на тези системи от ново поколение.
Анализаторите на компанията посочват четири основни причини, които предизвикват сериозни опасения относно сигурността на този нов тип свързаност. "В резултат на ограничени ресурси, възможности за обработка и изчислителен капацитет някои устройства не могат да бъдат достатъчно защитени по дизайн. Производителите на оборудване и доставчиците от своя страна често избират да приемат риска, вместо да го калкулират и оптимизират по време на своите анализи на разходите и ползите от дадени системи, ако въобще правят такива. В същото време често при IoT устройствата постоянното им функциониране и достъп до тях са най-важни за организациите, което пречи да се гарантира на достатъчни нива поверителността на данните. Не на последно, пазарът на решения за сигурност на IoT е ограничен, тъй като индустрията за производство на подобни устройства е твърде фрагментирана, обясняват анализаторите в своя доклад CONNECTED & PROTECTED: The vulnerabilities and opportunities of IoT security и добавят: Въпреки че тези пропуски в сигурността са значително предизвикателство за компаниите и крайните потребители, те също така представляват огромна възможност за играчите в IoT пространството, включително доставчици на IoT услуги и устройства, оператори на платформи, както и за организациите в сферата на киберсигурността."