Про безпеку розробки часто думають пізніше. Але з огляду на регулярність порушень системи безпеки, що впливають на низку важливих галузей, стає необхідною умова запровадження безпеки ще на ранніх стадіях проєктування. У цій статті пояснюється, чому безпекою не можна нехтувати навіть у розробках для побуту і показано, чому апаратні технології для організації безпеки можуть краще захистити від вразливості, ніж програмні підходи.
Г. Гез
Кібербезпека коштує дорого, але багато компаній все ще не розглядають кібербезпеку на стадії розробки, доки не стає надто пізно. Восени 2016 року через масовий збій в Інтернеті на деякий час припинили діяльність такі великі компанії як Amazon, Twitter, Netflix і PayPal. Відеокамери для відеоспо- стереження та відео реєстратори цих компаній були зламані ботнетом на основі шкідливого програмного забезпечення Mirai. Раніше цього року WikiLeaks потрапив у заголовки ЗМІ, коли виявив наявність службових документів ЦРУ, які свідчили про те, що ЦРУ мало доступ до смартфонів Apple і Android, телевізорів Samsung SmartTV і автомобілів з підтримкою Інтернету. Все частіше з’являється інформація про те, що повсякденні комп’ютерні засоби, такі як радіоняні, дитячі іграшки, камери спостереження і навіть медичні пристрої піддаються хакерським атакам. У деяких випадках атаки здійснювалися «білими» хакерами просто для того, щоб виявити можливість нападу. В інших випадках порушення приносять великі втрати. Злом серверів навіть мав місце в останніх президентських виборах у США.
За оцінками звіту аналітичної компанії Juniper Research, витоки даних з традиційних комп’ютерних пристроїв можуть збільшити вартість втрат від кі- берзлочинності до 2.1 трильйона доларів США у цьому десятиріччі. У звіті зазначається, що більшість цих зломів походить від існуючої ІТ мережевої інфраструктури. Якщо додати до цього зростання кількості розумних пристроїв, які працюють з конфіденційними особистими даними, то втрати можуть виявитися набагато більшими та небезпечнішими. Аналітична компанія Forrester прогнозує майбутні масштабні порушення безпеки Інтернету речей у всьому світі. Компанія вважає, що найбільш вразливими є ті області, які швидко перейняли технології IoT, а саме:
- управління автопарками на транспорті
- програми безпеки та спостереження в уряді
- програми для управління запасами та складом у роздрібній торгівлі
- управління промисловими активами в первинномувиробництві.
Більше того, компанія Forrester також зазначає, що хакери продовжуватимуть використовувати пристрої IoT для здійснення розподілених атак, таких як DDoS, на відмову в обслуговуванні. (DDoS — це кібе- ратака, під час якої зловмисник намагається зробити комп’ютер або мережевий ресурс недоступними для призначених користувачів шляхом тимчасового або невизначеного переривання роботи хоста, підключеного до мережі).
Центр розгляду скарг ФБР на злочини в Інтерне- ті відстежує скарги громадськості щодо злочинній діяльності через Інтернет. Згідно зі звітом цього центру за 2010 — 2015 роки зареєстровано понад 3.4 мільйона скарг, що становить у середньому майже 300 000 скарг на рік (рис. 1). На рис. 2, як приклад, наведено розбивку цих скарг за 2015 рік. Таким чином, нехтування безпекою нової розробки призводить до великих матеріальних втрат та й ще погіршенню репутації компанії. Більше того, як з’ясувалося, підходи до безпеки на основі тільки програмного забезпечення (ПЗ) не забезпечують найнадійнішого захисту, як багато хто вважає. Безпека на основі апаратного забезпечення може виявитися набагато надійнішою.
Рис. 1. Звіт ФБР про злочини в Інтернеті за період 2010 – 2015 роках
Рис.2. Злочини, скоєні через Інтернет, які відслідковує центр розгляду скарг ФБР
Навіть фінансова індустрія теж виявилася ненадійною. Жорстко регульована фінансова галузь підпорядковується різноманітним стандартам, у тому числі серії ISO 27000, яка рекомендує найкращі на сьогодні методи управління інформаційною безпекою в контексті загальної системи управління інформаційною безпекою Це стандартна анкета збору інформації (SIG), якою керує Shared Assessments Program, стороння організація з оцінки ризиків, та стандарт безпеки даних індустрії платіжних карток (PCI DSS). Це власний стандарт безпеки інформації, розроблений для зменшення шахрайства з кредитними картками. Фінансові установи, які не прийняли ці стандарти, можуть зіткнутися зі значними штрафами в разі порушення. Незважаючи на ці правила, звіт про кібербезпеку фінансової індустрії США від ФБР за 2016 рік з аналізом понад 7000 фінансових установ виявив деякі тривожні висновки:
- 75% з 20 найбільших комерційних банків США працювали з зараженим ПЗ
- майже кожна п’ята фінансова установа використовувала постачальника послуг електронної пошти з серйозними вадами щодо захисту даних
- охорона здоров’я передбачає підтримку конфіденційності, цілісності даних і безпеку пацієнтів у разі кібератак на медичні записи чи обладнання та пристрої
- Інтернет-банкінг теж знаходиться під загрозою,оскільки важко гарантувати ідентифікацію візуально
- роздрібні продавці з мобільними каналами продажів повинні забезпечити безпечні транзакції та комунікації
- комунікації потребують наскрізної безпеки для захисту від різних атак, які можуть перехопити дані або вивести системи з ладу
- автомобільна промисловість повинна захищатисявід таких загроз, як віддалений злом (у 2015 році хакери дистанційно вивели з ладу Jeepна шосе в Сент-Луїсі)
- така інфраструктура, як інтелектуальна мережа чи інші комунальні послуги, має бути захищена від атак, які можуть порушити роботу міст або завдати шкоди людям.
Очевидно, що в такій галузі, як фінанси, є чіткі винагороди для злочинців, які можуть, скажімо, зламати систему кредитних карток. Ризики також великі, але потенційні винагороди для того, хто зможе уникнути такого злочину, можуть переважити ризики. Сьогодні у використанні знаходиться дедалі більше розумних підключених пристроїв, кожен із яких має набагато більше потенційних точок уразливості, ніж це будо у недалекому минулому. У деяких випадках ризик став меншим через доступність. Від дверних дзвінків і систем безпеки вдома до медичних пристроїв, систем управління фабрикою/будівлею, автономних транспортних засобів і функцій міської інфраструктури, за даними консалтингової фірми Gartner Inc., до 2025 року очікується у використанні 30.8 мільярда розумних речей, які мають можливість підключення сенсорів до систем зв’язку. Часто цінні дані переміщуються з цих пристроїв у хмару й назад і можуть бути перехоплені в багатьох точках системи на цьому шляху.
Рис. 3. Кібербезпека має певні витрати, але втрата прибутку може бути більш суттєвою
На жаль, багато рішень щодо безпеки обмежені запланованими бюджетними витратами, що не завжди оправдано. Вартість порушення безпеки може перевищити передбачені бюджетні витрати. На рис. 3 як приклад показано, наскільки підробка може вплинути на кінцевий результат. Але на сьогодні існує ще багато компаній, які у зв’язку з тиском швидкого виходу продукту на ринок, зберігають витрати на розробку засобів безпеки своїх виробів на низькому рівні. Однак, як витікає з рис. 3, низькі витрати на кібербезпеку насправді можуть обійтися дорожче в кінцевому підсумку.
Чому апаратна кібербезпека часто є більш ефективною. Розглянемо підходи до кібербезпеки на основі апаратного та програмного забезпечення. Незважаючи на те, що програмне шифрування вважається економічно ефективним і простим у впровадженні та оновленні, воно насправді так само надійне, як рівень безпеки операційної системи (ОС) пристрою у цілому. Порушення безпеки ОС може легко поставити під загрозу кібербезпеку, яку забезпечує програмне шифрування. Дійсно, операційні системи (та їхні виправлення) зазвичай настільки складні, що важко точно визначити всі потенційні взаємодії, які можуть призвести до зламу, що залишає систему потенційно вразливою.
Оскільки хакери постійно атакують інструменти кібербезпеки програмного забезпечення, програмний підхід може залишити пристрої відкритими для певних кібератак. У статті «Безпека на основі апаратного забезпечення більш ефективна проти нових загроз» (http://www.zdnet.com/article/hardware-ba- sed-security-more-effective-against-new-threats/) стверджується, що вироби будуть краще захищені, якщо використовуватиметься безпека на основі апаратного забезпечення, оскільки кіберзлочинцям важко зламати систему на фізичному рівні. Зазначається, що захищений фізичний рівень усуває можливість проникнення шкідливих програм в операційну систему.
Апаратна безпека справді надійніша, ніж її програмний аналог. У цьому випадку надійність ПЗ базується на апаратному підході. Єдиний спосіб захиститися від атак, які намагаються зламати апаратне забезпечення електронного пристрою, — це захистити мікроконтролер. Для цього мікроконтролер повинен завантажувати ПЗ з внутрішньої постійної пам’яті (ПЗП). Програмне забезпечення, яке зберігається в ПЗП мікроконтролера, вважається надійним, оскільки його практично не можна змінити (http://www.embedded.com/design/safety-and-secu- rity/4438300/Securing-the-IoT—Part-2—Secure- boot-as-root-of-trust-).
ВИСНОВКИ
Постійний потік інформації про хакерство має бути достатнім доказом того, що безпекою при розробці приладів і систем, особливо працюючими за технологією Інтернету речей, не можна нехтувати. І якщо зважувати програмні та апаратні підходи, стає зрозуміло, що реалізація системи захисту за допомогою не тільки програмного, а й апаратного забезпечення підтримує більш надійний варіант захисту. Сучасні мікросхеми з вбудованими засобами безпеки можуть забезпечити простіший і дешевший спосіб захисту нових виробів вже на ранній стадії розробки, підтримувати криптографічні алгоритми, виявляти втручання, а також використовувати багато інших засобів захисту.