"Подключенные устройства" - новый класс потенциальных угроз
Российские разработчики абонентского оборудования заявили о необходимости сертификации интеллектуальных платформ, управляющих "умными вещами". Представители рынка призывают регулятора выработатьикритерии и стандарты безопасности для оконечного абонентского оборудования, начав с нормативного закрепления такого понятия как "безопасность подключенных устройств".
В Москве в отеле "Националь" прошел круглый стол "Как обезопасить подключенные абонентские устройства", на котором представители производителей оборудования, эксперты по информационной безопасности обсудили актуальные проблемы цифровой экономики и перехода на "умное" оборудование.
"С каждым годом функциональность вредоносного программного обеспечения (ПО) растет. Преступникам доступны те же прогрессивные технологии, что и производителям, ми сервис-провайдерам. Злоумышленники активно используют инновации для взломов систем и платформ "умного дома", подключенных устройств", - сообщил директор проектного направления компании Group-IB Антон Фишман.
Для решений Интернета вещей (IoT) необходимо создавать многопрофильные системы защиты, обезопасив передающие контент каналы связи, ПО, которым управляются "умные вещи", бытовые хабы (роутеры и т. д.). Пока же отсутствует даже определение безопасности для абонентского оборудования, не прописаны регламенты и требования. При массовом распространении "подключенных устройств" это может обернуться серьезными проблемами и даже трагедиями.
Исполнительный директор АРПЭ (Ассоциации российских разработчиков и производителей электроники) Иван Покровский уверен, что базовые технологии совместного использования должны соответствовать не только требованиям информационной безопасности, но и доверенности (пройти сертификацию в соответствии с требованиями российского законодательства). В первую очередь это касается облачных систем обработки данных и управления, к которым подключаются абонентские устройства и другие объекты, сопряженные с концепцией IoT.
Рынок "умных" бытовых приборов в России формируется стихийно, пользователи массово устанавливают, в том числе, непроверенное оборудование иностранного производства. "Чтобы обеспечить необходимый уровень доверенности, у государственного регулятора должен быть доступ к разработчикам и процессу разработки. Это невозможно при использовании решений зарубежных вендоров", - уверен Иван Покровский. Директор по стратегическим проектам и коммуникациям GS Group Андрей Безруков задается вопросом, смогут ли операторы и сервис-провайдеры быть уверены, что они обеспечивают безопасность пользователя при использовании иностранного оборудования и софта. В GS Group, отметил он, при производстве систем "умного дома" для защиты отдельных элементов используется проприетарное ПО и собственные разработки криптошифрования.
Заместитель генерального директора по научной работе ЗАО "МНИТИ" (Московский научно-исследовательский телевизионный институт) Константин Быструшкин отметил, что если даже ПО будет на 100% отечественным, информационную безопасность при использовании импортной элементной базы гарантировать нельзя, так как в микросхемах могут быть аппаратные "закладки", реализующие не декларируемые функции.
"Оборудование в нашей стране на 95% иностранное: из 60 наименований изделий, которые покупают потребители, только 1-2 производятся в России. Мы продаем вооружение, а бытовую технику все еще покупаем. И причина этого в том, что нет элементной базы", - подчеркнул председатель экспертного совета АРПАТ (Ассоциации разработчиков и производителей аппаратуры телерадиовещания) Калью Кукк. Он добавил, что, уменьшая постепенно допустимый процент использования зарубежной элементной базы, российские производители со временем смогут полностью перейти на отечественные компоненты.