Прежде чем ИТ и ОТ начали работать вместе, ОТ предпочитала изолировать системы для обеспечения безопасности. Теперь мы знаем, что это не самый эффективный подход. Но это и одна из главных причин, по которым я с самого начала этой книги призываю вас установить взаимодействие между ИТ и ОТ.
Безопасность стала одним из главных тормозящих факторов внедрения IoT. Я перестал считать все конференции и встречи, главной темой которых не без причины называлась безопасность IoT. Нельзя и далее полагаться на физическую изоляцию. Все должно быть взаимосвязано. Как долго проработает ваша организация, если отключится электронная почта или интернет? Сегодня все бизнес-процессы зависят от способности подключаться к сети. Вспомните сценарии быстрого успеха, описанные в главе 5. Каждый из них опирается на поток данных с производственного объекта в ИТ-сеть предприятия и в итоге в облако. Сегодня идея отключить организацию от глобальной сети просто абсурдна – какой бы обнадеживающей она ни казалась.
Рисунок 9.1. Самозащита на основе рисков
В общем, от глобальной сети теперь никуда не уйдешь. Однако это не причина для паники. Не все угрозы одинаковы и не все объекты угроз обладают одинаковой важностью для вашей организации. Ваш ответ на различные типы угроз, направленные на различные объекты, должен быть взвешенным и пропорциональным (рис. 9.1). Для этого необходимо управление рисками.
Безопасность как еще одна задача управления рисками
Сегодня ведущие организации считают безопасность управляемым риском, который необходимо оценивать вместе с другими рисками бизнеса. Процесс управления рисками IoT-безопасности не отличается от процесса управления любыми другими рисками:
• Выявите вероятные угрозы.
• Оцените вероятность каждой угрозы и потенциальный ущерб.
• Определите и внедрите защитные меры, сообразные вероятности и потенциальному ущербу каждой из угроз.
Разные типы уязвимостей приводят к возникновению разных угроз, потенциально причиняющих различный ущерб предприятию. Угроза, которой под силу отключить заводской конвейер или остановить работу буровой платформы, гораздо серьезнее угрозы, которая может нарушить процесс учета материально-технических ресурсов. Оценивая потенциальные риски, вы можете принимать обоснованные решения о размере инвестиций в защитные механизмы. В этом отношении вложения в безопасность IoT ничем не отличаются от покупки различных типов страховок, необходимых организации. В обоих случаях инвестиции должны быть соизмеримы с вероятностью риска и потенциальной суммой потерь или ущерба.
Пока вы читаете эту книгу, компании годами успешно внедряют IoT под разными именами. Да, существуют серьезные риски, которые я подробно опишу чуть ниже, но отрасль активно разрабатывает защитные стратегии, а ее участники совместными усилиями определяют лучшие методы защиты, продукты и передовые практики, дающие возможность противостоять этим рискам. Не думайте, что вы не сможете защитить свою организацию. Вам это под силу – надо лишь начать с выявления рисков, их оценки и управления ими.
Однако важно понимать, что не существует волшебного снадобья для безопасности IoT. Размах и разнообразие IoT-решений не позволяют создать безотказную систему защиты. Технологии IoT постоянно меняются, а решения совершенствуются – и угрозы и векторы атаки изменяются вместе с ними. Вы имеете дело с активным противником, который постоянно пытается обхитрить вас и обойти вашу защиту. IoT не внедряется раз и навсегда, как и ваша IoT-защита. Как я уже сказал, управление рисками – продолжительный процесс. Оценку рисков надо повторять как минимум раз в год, а возможно и чаще – по мере изменения решений и появления новых угроз. Главное – разумно оценивать ситуацию, не забывать о рисках IoT и не бояться их.
Безопасность и сопутствующее ей управление рисками должны быть в приоритете у каждого, а не только у специалистов сферы ИТ и ОТ. Особенное внимание им должны уделять топ-менеджеры. Это ключевая задача для вас и вашей виртуальной команды IoT, ведь в рецепте успеха IoT из первой главы написано: «Поставьте безопасность в приоритет». Согласно исследованию, проведенному компанией ISACA на конференции RSA в 2016 году, 82 процента руководителей сегодня озабочены проблемами кибербезопасности[40]. Не знаю, о чем думают остальные 18 процентов, но этими проблемами давно пора заниматься всем.
Сначала я хотел привести несколько примеров провалов безопасности IoT, но вам и так знакомы эти истории: парнишка взламывает местную систему поездов и мешает движению или хакеры проникают в системы атомных электростанций или коммунального водоснабжения. Зачем знакомиться с другими примерами, если любой поставщик решений с радостью перечислит вам их, надеясь продать свой продукт для обеспечения безопасности IoT.
Я же хочу продать лишь одно решение безопасности: осознанную оценку и мониторинг рисков в сочетании с подходящим и пропорциональным ответом на угрозы безопасности, соответствующим уровню угрозы и потенциальной сумме ущерба. Определив свои потребности, вы сможете выбрать лучшее решение проблемы безопасности из тех, что предлагают поставщики, и сразу внедрить его в свою экосистему. Кроме того, стоит обратить внимание и на страхование кибербезопасности, которое уже начинают предлагать некоторые страховые компании. После этого останется лишь один последний, но важный шаг: привлечь к обеспечению безопасности руководителей вашей организации и заручиться их поддержкой, поскольку никто из них не захочет, чтобы его компания оказалась на первых полосах всех газет в качестве жертвы кибератаки.
Есть много причин для хакерских атак на ваше IoT-решение. Одни хакеры занимаются этим из любопытства, другие делают политические заявления, для третьих это целенаправленные военные акции или террористические акты. Однако я подозреваю, что в большинстве случаев хакеры ищут наживы, воруя данные или коммерческие тайны для получения рыночного преимущества, устранения вас как конкурента или подрыва вашей бизнес-стратегии. Кроме того, обиженный работник таким образом может попытаться вам отомстить. Причин много, и они столь же разнообразны, как сюжеты многочисленных детективных телесериалов. Проблемы безопасности изучаются годами, и один вывод предельно очевиден: большинство нарушений безопасности происходит при использовании известных уязвимостей, которые не были ликвидированы, несмотря на многочисленные предупреждения, а большинство злоумышленников может быть вам хорошо известно – это сотрудники, подрядчики или партнеры того или иного рода. В целом хакерские атаки нельзя назвать ни загадочными, ни оригинальными.