|
Брус Шнайер, известният криптограф, интернет активист и специалист по информационна сигурност, не е от хората, които обичат да плашат, но негова публикция в Motherboard вещае изключително мрачен сценарий, свързан с „Интернет на вещите“ (Internet of Things, IoT). „С възхода на „Интернет на вещите“, и кибер-физическите системи в широк план, ние придаваме на Интернет материален облик: възможността да засяга нашия физически сят. Това, което в миналото беше атака срещу информацията и данните, днес е атака срещу плътта, стоманата и бетона“, пише Шнайер. Той започва с разглеждането на рисковете за нашия свят от възхода на IoT, прекарвайки ги през призмата на класическата триада на информационната бизопасност: конфиденциалност, цялост и достъпност (confidentiality, integrity, availability, CIA). Днес атаките, които наблюдаваме се организират главно с цел разрушаване на конфиденциалността на информацията – кражбата ?. При IoT, разкриването на конфиденциалността съвсем не е големия проблем, а другите два компонента от пирамидата. Така например, ако крадец открадне или хакне смарт ключалката ви е едно, но ако направи така че да откаже достъп до дома ви, като я заключи или вземе контрол над колата ви (направи недостъпна информацията за вас) е съвсем друго. Що се отнася до атаките към целостта на информацията, тук нещата сякаш звучат най-страшно, макар че за такива атаки все още да не сме чували, то те могат да станат реалност. Става дума за възможността да бъдат променяни данни и показатели със зла умисъл. Може да си помислите какво би станало, ако бъдат променени данните, с които боравят електроцентрали, системи, обслужващи петролопроводи, язовири и под. Или пък числата на световните борси. А виновникът за това едва ли ще бъде открит. Според Шнайер, IoT ще позволи атаки, каквито не сме си представяли, че може да се проведат, а причините за тях, той обобщава в три главни компонента: софтуерният контрол, взаимните връзки и автономността на системите. По отношение на първото, той напомня, че с IoT, всичко се превръща в компютър. Това може да ни донесе не само ползи, но и рискове. Такива са рисковете, свързани с особеностите на софтуера и кода, пишещ се за него. Става дума за уязвимостите в него. И ако една програма може да бъде обновена лесно до следваща версия или пренаписана изцяло, то при уредите, които траят с години, нещата са далеч по-сложни. „В момента единственият мач е да се наложи кръпка по сигурността към повечето домашни рутери е да бъдат захвърлени и да се купи нов. И сигурността, която идва със замяната на вашия компютър или телефон на всеки няколко години, няма да стане с хладилника ви или вашия термостат: средно, първите биват заменяни на всеки 15 години, а вторите – понякога никога“, заявява Шнайер. По отношение на взаимната свързаност между смарт вещите и устройства, Шнайер споделя, че слабостите в една от системите, ще улесни атаката към други. Той привежда за пример странния инцидент, при който атаката към интелигентни хладилници разкриха акаунта на потребителите им в Gmail, компрометирането на болнични мрежи посредством експлоатиране на уязвимост в медицински устройства. Безобидни на вид проблеми в едно устройство, когато получи връзка с друго устройство или системи, могат да се превърнат в истинска заплаха. Автономността на системите също е нещо, което улеснява живота ни, но когато получат същите тези системи мрежова свързаност и достъп до необезопасени системи, това удобство се превръща в опасност: системи, които купуват и продават дялове автономно, такива, които контролират потока на електричество в мрежата, автономните системи, отговарящи за безпилотните возила. „Колкото повече премахваме човешкият фактор от системата, толкова по-бързо атаките могат да причинят щета и колкото повече губим нашата способност да разчитаме на своите възможности да забележим, че нещо не е както трябва преди да е станало твърде късно, толкова по-зле“, пише той. Шнайер не пропуска да спомене и тема, която е твърде чувствителна за силните на деня. Колкото по-сложни стават системите, толкова по-трудно ще може да се разбере откъде идва заплахата и как би могла да се избегне, а самите компании често не се интересуват от защита на потребителите си. |
|
