Чому кібербезпека за підтримки апаратного забезпечення є важливою для кожної розробки та її застосування

03.07.2024 |

Про безпеку розробки часто думають пізніше. Але з огляду на регулярність порушень системи безпеки, що впливають на низку важливих галузей, стає необхідною умова запровадження безпеки ще на ранніх стадіях проєктування. У цій статті по­яснюється, чому безпекою не можна нехтувати на­віть у розробках для побуту і показано, чому апа­ратні технології для організації безпеки можуть кра­ще захистити від вразливості, ніж програмні підхо­ди.

Г. Гез

Кібербезпека коштує дорого, але багато компа­ній все ще не розглядають кібербезпеку на стадії розробки, доки не стає надто пізно. Восени 2016 року через масовий збій в Інтернеті на деякий час припинили діяльність такі великі компанії як Amazon, Twitter, Netflix і PayPal. Відеокамери для відеоспо- стереження та відео реєстратори цих компаній були зламані ботнетом на основі шкідливого програмно­го забезпечення Mirai. Раніше цього року WikiLeaks потрапив у заголовки ЗМІ, коли виявив наявність службових документів ЦРУ, які свідчили про те, що ЦРУ мало доступ до смартфонів Apple і Android, те­левізорів Samsung SmartTV і автомобілів з підтрим­кою Інтернету. Все частіше з’являється інформація про те, що повсякденні комп’ютерні засоби, такі як радіоняні, дитячі іграшки, камери спостереження і навіть медичні пристрої піддаються хакерським ата­кам. У деяких випадках атаки здійснювалися «біли­ми» хакерами просто для того, щоб виявити можли­вість нападу. В інших випадках порушення прино­сять великі втрати. Злом серверів навіть мав місце в останніх президентських виборах у США.

За оцінками звіту аналітичної компанії Juniper Research, витоки даних з традиційних комп’ютерних пристроїв можуть збільшити вартість втрат від кі- берзлочинності до 2.1 трильйона доларів США у цьому десятиріччі. У звіті зазначається, що більшість цих зломів походить від існуючої ІТ мережевої інфраструктури. Якщо додати до цього зростання кількості розумних пристроїв, які працюють з конфі­денційними особистими даними, то втрати можуть виявитися набагато більшими та небезпечнішими. Аналітична компанія Forrester прогнозує майбутні масштабні порушення безпеки Інтернету речей у всьому світі. Компанія вважає, що найбільш вразли­вими є ті області, які швидко перейняли технології IoT, а саме:

  • управління автопарками на транспорті
  • програми безпеки та спостереження в уряді
  • програми для управління запасами та складом у роздрібній торгівлі
  • управління промисловими активами в первин­номувиробництві.

Більше того, компанія Forrester також зазначає, що хакери продовжуватимуть використовувати при­строї IoT для здійснення розподілених атак, таких як DDoS, на відмову в обслуговуванні. (DDoS — це кібе- ратака, під час якої зловмисник намагається зроби­ти комп’ютер або мережевий ресурс недоступними для призначених користувачів шляхом тимчасового або невизначеного переривання роботи хоста, під­ключеного до мережі).

Центр розгляду скарг ФБР на злочини в Інтерне- ті відстежує скарги громадськості щодо злочинній діяльності через Інтернет. Згідно зі звітом цього центру за 2010 — 2015 роки зареєстровано понад 3.4 мільйона скарг, що становить у середньому майже 300 000 скарг на рік (рис. 1). На рис. 2, як приклад, наведено розбивку цих скарг за 2015 рік. Таким чи­ном, нехтування безпекою нової розробки призво­дить до великих матеріальних втрат та й ще погір­шенню репутації компанії. Більше того, як з’ясувало­ся, підходи до безпеки на основі тільки програмного забезпечення (ПЗ) не забезпечують найнадійнішого захисту, як багато хто вважає. Безпека на основі апаратного забезпечення може виявитися набагато надійнішою.

Рис. 1. Звіт ФБР про злочини в Інтернеті за період 2010 – 2015 роках

Рис.2. Злочини, скоєні через Інтернет, які відслідковує центр розгляду скарг ФБР

Навіть фінансова індустрія теж виявилася нена­дійною. Жорстко регульована фінансова галузь під­порядковується різноманітним стандартам, у тому числі серії ISO 27000, яка рекомендує найкращі на сьогодні методи управління інформаційною безпе­кою в контексті загальної системи управління інформаційною безпекою Це стандартна анкета збору ін­формації (SIG), якою керує Shared Assessments Pro­gram, стороння організація з оцінки ризиків, та стан­дарт безпеки даних індустрії платіжних карток (PCI DSS). Це власний стандарт безпеки інформації, роз­роблений для зменшення шахрайства з кредитними картками. Фінансові установи, які не прийняли ці стандарти, можуть зіткнутися зі значними штрафа­ми в разі порушення. Незважаючи на ці правила, звіт про кібербезпеку фінансової індустрії США від ФБР за 2016 рік з аналізом понад 7000 фінансових уста­нов виявив деякі тривожні висновки:

  • 75% з 20 найбільших комерційних банків США працювали з зараженим ПЗ
  • майже кожна п’ята фінансова установа викори­стовувала постачальника послуг електронної пошти з серйозними вадами щодо захисту даних
  • охорона здоров’я передбачає підтримку конфі­денційності, цілісності даних і безпеку пацієнтів у разі кібератак на медичні записи чи обладнання та пристрої
  • Інтернет-банкінг теж знаходиться під загро­зою,оскільки важко гарантувати ідентифікацію візу­ально
  • роздрібні продавці з мобільними каналами продажів повинні забезпечити безпечні транзакції та комунікації
  • комунікації потребують наскрізної безпеки для захисту від різних атак, які можуть перехопити дані або вивести системи з ладу
  • автомобільна промисловість повинна захища­тисявід таких загроз, як віддалений злом (у 2015 році хакери дистанційно вивели з ладу Jeepна шосе в Сент-Луїсі)
  • така інфраструктура, як інтелектуальна мережа чи інші комунальні послуги, має бути захищена від атак, які можуть порушити роботу міст або завдати шкоди людям.

Очевидно, що в такій галузі, як фінанси, є чіткі ви­нагороди для злочинців, які можуть, скажімо, злама­ти систему кредитних карток. Ризики також великі, але потенційні винагороди для того, хто зможе уник­нути такого злочину, можуть переважити ризики. Сьогодні у використанні знаходиться дедалі більше розумних підключених пристроїв, кожен із яких має набагато більше потенційних точок уразливості, ніж це будо у недалекому минулому. У деяких випадках ризик став меншим через доступність. Від дверних дзвінків і систем безпеки вдома до медичних при­строїв, систем управління фабрикою/будівлею, ав­тономних транспортних засобів і функцій міської ін­фраструктури, за даними консалтингової фірми Gartner Inc., до 2025 року очікується у використанні 30.8 мільярда розумних речей, які мають можливість підключення сенсорів до систем зв’язку. Часто цінні дані переміщуються з цих пристроїв у хмару й назад і можуть бути перехоплені в багатьох точках системи на цьому шляху.

Рис. 3. Кібербезпека має певні витрати, але втрата прибутку може бути більш суттєвою

На жаль, багато рішень щодо безпеки обмежені запланованими бюджетними витратами, що не за­вжди оправдано. Вартість порушення безпеки може перевищити передбачені бюджетні витрати. На рис. 3 як приклад показано, наскільки підробка може вплинути на кінцевий результат. Але на сьогодні іс­нує ще багато компаній, які у зв’язку з тиском швид­кого виходу продукту на ринок, зберігають витрати на розробку засобів безпеки своїх виробів на низь­кому рівні. Однак, як витікає з рис. 3, низькі витрати на кібербезпеку насправді можуть обійтися дорожче в кінцевому підсумку.

Чому апаратна кібербезпека часто є більш ефек­тивною. Розглянемо підходи до кібербезпеки на ос­нові апаратного та програмного забезпечення. Не­зважаючи на те, що програмне шифрування вважа­ється економічно ефективним і простим у впровад­женні та оновленні, воно насправді так само надій­не, як рівень безпеки операційної системи (ОС) при­строю у цілому. Порушення безпеки ОС може легко поставити під загрозу кібербезпеку, яку забезпечує програмне шифрування. Дійсно, операційні систе­ми (та їхні виправлення) зазвичай настільки складні, що важко точно визначити всі потенційні взаємодії, які можуть призвести до зламу, що залишає систему потенційно вразливою.

Оскільки хакери постійно атакують інструменти кібербезпеки програмного забезпечення, програм­ний підхід може залишити пристрої відкритими для певних кібератак. У статті «Безпека на основі апа­ратного забезпечення більш ефективна проти нових загроз» (http://www.zdnet.com/article/hardware-ba- sed-security-more-effective-against-new-threats/) стверджується, що вироби будуть краще захищені, якщо використовуватиметься безпека на основі апаратного забезпечення, оскільки кіберзлочинцям важко зламати систему на фізичному рівні. Зазнача­ється, що захищений фізичний рівень усуває мож­ливість проникнення шкідливих програм в операцій­ну систему.

Апаратна безпека справді надійніша, ніж її про­грамний аналог. У цьому випадку надійність ПЗ базу­ється на апаратному підході. Єдиний спосіб захи­ститися від атак, які намагаються зламати апаратне забезпечення електронного пристрою, — це захи­стити мікроконтролер. Для цього мікроконтролер повинен завантажувати ПЗ з внутрішньої постійної пам’яті (ПЗП). Програмне забезпечення, яке збері­гається в ПЗП мікроконтролера, вважається надій­ним, оскільки його практично не можна змінити (http://www.embedded.com/design/safety-and-secu- rity/4438300/Securing-the-IoT—Part-2—Secure- boot-as-root-of-trust-).

ВИСНОВКИ

Постійний потік інформації про хакерство має бути достатнім доказом того, що безпекою при роз­робці приладів і систем, особливо працюючими за технологією Інтернету речей, не можна нехтувати. І якщо зважувати програмні та апаратні підходи, стає зрозуміло, що реалізація системи захисту за допо­могою не тільки програмного, а й апаратного забез­печення підтримує більш надійний варіант захисту. Сучасні мікросхеми з вбудованими засобами безпе­ки можуть забезпечити простіший і дешевший спо­сіб захисту нових виробів вже на ранній стадії роз­робки, підтримувати криптографічні алгоритми, ви­являти втручання, а також використовувати багато інших засобів захисту.