В последнее время в обиход вошло такое понятие как «интернет вещей» — Internet of Things (IoT). Появляются ”умные” приборы, соединенные через сеть передачи данных с устройством дистанционного контроля и управления. Данные технологии с успехом применяются и в быту, и на производстве. Для систем производственных объектов, объединенных с компьютерными сетями и имеющими специальные датчики и ПО для удаленного контроля и автоматизированного управления, принят термин «промышленный интернет вещей» — Industrial Internet of Things (IIoT). Сфера его применения широка — здравоохранение, транспортное обслуживание, строительство, финансовый сектор, энергетика, добыча полезных ископаемых и многое другое. Предприятия многих перечисленных отраслей в свою очередь являются субъектами критической информационной инфраструктуры, а значит со стороны органов государственной власти предъявляются повышенные требования к обеспечению безопасности этих систем. Статистика прошлого года фиксировала увеличение роста кибератак именно на IIoT. Формируются общие подходы к обеспечению безопасности промышленного интернета вещей.
Инциденты информационной безопасности, произошедшие с устройствами интернета вещей, входят в топ-3 угроз, влекущих за собой наибольшие финансовые потери для компаний. При этом размер организации неважен – уязвимости «умных» девайсов опасны как для малого и среднего бизнеса, так и для крупных предприятий.
Агентство Европейского союза по сетям и информационной безопасности (ENISA) опубликовало общие рекомендации по обеспечению безопасности устройств промышленного интернета вещей, сделал особый упор на объекты критической инфраструктуры. В разработке документа принимали участие эксперты «Лаборатории Касперского».
Для проверяющих служб были выделены следующие главные рекомендации:
• необходима разработка регламентов с учетом специфики каждой из отраслей вместо общих рекомендаций;
• необходима общеевропейская стандартизация требований и регламентов, а также принятие единой терминологии и классификации объектов IIoT;
• необходимо развитие сотрудничества с представителями отрасли, бизнес необходимо привлекать к разработке законов для получения более полного и компетентного взгляда на обеспечение безопасности объектов IIoT.
Для разработчиков программного обеспечения и производителей были сформулированы отдельные требования. Основные из них:
• необходимо проводить повышение квалификации и проверку знаний и навыков всех сотрудников компаний в области обеспечения информационной безопасности;
• необходимо обеспечить совместимость данных с надежной автоматизированной системой установки обновлений;
• необходимо проводить аудит разработок в процессе внедрения для выявления ошибок и уязвимостей в конечном продукте.
С полной версией документа «Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures» можно ознакомиться на сайте ENISA.