Раскрывая потенциал «Интернета вещей» (IoT) ·...

www.pwc.ru/gsiss

Как правильные меры по обеспечению безопасности и конфиденциальности в киберпространстве могут помочь бизнесу использовать потенциал IoT

Раскрывая потенциал «Интернета вещей» (IoT)

Основные результаты глобального исследования тенденций информационной безопасности за 2017 год

СодержаниеОсознание проблемы: лучше раньше, чем позже . . . . . . . . . . . . . . . . . . . . .3

Конкурентные преимущества IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Сложный вопрос: почему безопасность всегда требует внимания . . . . . .9

Автопроизводители соревнуются в безопасности «подключенных» автомобилей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Как устройства улучшают качество медицинского обслуживания пациентов . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Риск избытка информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Шаги к обеспечению безопасности в киберпространстве IoT . . . . . . . . .14

Эффективное использование существующих технологий для интеграции кибербезопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

Человеческие ресурсы: слабое место безопасности в киберпространстве . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

Прокладывая путь в будущее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

Методология . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

По данным исследования PwC «Digital IQ» за 2017 год, 65 % российских компаний активно инвестируют средства в развитие технологий, связанных с «Интернетом вещей» (IoT) . Так, 41 % компаний считают, что в ближайшие пять лет технологии IoT приведут к коренным изменениям в текущих бизнес-моделях . Кроме того, по мнению респондентов, именно «Интернет вещей», как никакая другая технология, способен обеспечить революционную трансформацию рынка в России . Внедрение технологий IoT позволит российским компаниям сократить издержки, трансформировать бизнес-модели и обеспечить рост выручки .1

Однако появление новых технологий также сопряжено с возникновением новых рисков, которые компании должны минимизировать и которыми в дальнейшем необходимо будет управлять, – это поможет раскрыть компаниям весь свой технологический потенциал . Ключевыми рисками для технологий «Интернета вещей», в частности, являются киберриски и утечка персональных данных, при этом нужно учитывать, что по мере стремительного распространения «подключенных» устройств эти риски будут расти в геометрической прогрессии . По некоторым данным, в 2015 году в России насчитывалось 15,5 млн «подключенных» устройств; к 2018 году, согласно прогнозам, их количество удвоится . 2

В среднесрочной же перспективе ожидается рост до 400 млн таких устройств . Иными словами, 400 млн цифровых устройств могут стать мишенью для киберпреступников, желающих получить доступ к жизненно важным системам и (или) персональным данным, либо могут стать инструментом для проведения DDoS-атак . Поэтому, по мере того как российские компании планируют применение IoT-технологий, они должны заблаговременно продумать стратегию обеспечения безопасности и защиты данных, а также предусмотреть создание надлежащей инфраструктуры .

Наличие комплексного подхода к обеспечению кибербезопасности и защиты данных является залогом успешного применения стремительно развивающихся технологий «Интернета вещей» . Компании, которые будут развивать IoT-системы и продукты в соответствии с новыми стандартами кибербезопасности и защиты данных, смогут минимизировать риски, заручиться доверием заинтересованных сторон и в конечном счете занять лидирующие позиции в области применения технологий IoT .

Тим Клау Руководитель направления по развитию технологий, руководитель отдела анализа и контроля рисков PwC в России

1 Глобальное исследование PwC Digital IQ 2017, www.pwc.ru/digital-iq

2 Обзор российского рынка “Инернета вещей”, Research Nester

Основные результаты глобального исследования тенденций информационной безопасности за 2017 год 1

До недавнего времени разговоры о применении вредоносного программного обеспечения, воздействующего на «Интернет вещей» (IoT), рассматривали по большей части в теоретическом ключе. Cитуация в одночасье изменилась прошлой осенью, когда одним ничем не примечательным утром на серверы американского DNS-провайдера, компании Dyn, была проведена массированная распределенная DDoS-атака (атака типа «отказ в обслуживании»).

Сотни тысяч взломанных хакерами устройств IoT, включая камеры наблюдения, веб-камеры и маршрутизаторы, провели консолидированную DDoS-атаку на головной офис Dyn, в кратчайший срок выведя из строя крупнейшие сайты.*

Уже к полудню того же дня понятие безопасности в киберпространстве в контексте IoT перешло из категории эзотерики в главную новость мира информационной безопасности. Неожиданно безопасность и конфиденциальность IoT стали новым приоритетным направлением деятельности.

PwC2

* «Нью-Йорк Таймс», «Хакеры использовали новое оружие для выведения из строя крупнейших сайтов США», 21 Октября 2016 г.

Риски подобных взломов в будущем, вероятно, вырастут, ведь количество подключенных к Интернету устройств растет с угрожающей скоростью . «Согласно прогнозам Gartner, Inc ., в 2017 г . во всем мире будет использоваться 8,4 млрд подключенных к Интернету объектов, что на 31 % выше, чем в 2016 г . К 2020 году то же количество достигнет 20,4 млрд» .3 Приблизительно четверть опрошенных в рамках глобального исследования тенденций информационной безопасности за 2017 г . подтвердили взлом компонентов IoT, используемых при автоматизации технологических процессов (ТП), в интеграционных систем, а также в пользовательских, в том числе бытовых устройствах (в товарах индивидуального потребления) .

По мере того как IoT проникает все ближе к ядру цифрового бизнеса, интеграция отраслей безопасности – IT, ТП и пользовательских технологий – скорее всего спровоцирует возникновение принципиально новых факторов риска . К этим потенциальным рискам относятся: нарушения в информационном потоке между подключенными устройствами, физическое вмешательство в оборудование, влияние на деловые операции, кража конфиденциальной информации, компрометация персональных данных, повреждение особо важных объектов инфраструктуры и даже потеря человеческих жизней .

25% 46%опрошенных планируют инвестировать в информационную безопасность «Интернета вещей» в этом году

В России В мире

Осознание проблемы: лучше раньше, чем позже


3 Пресс-релиз Gartner, По данным Gartner, в 2017 г. будет использоваться 8,4 млрд подключенных к Интернету «вещей», что на 31 % больше по сравнению с 2016 г., 7 февраля 2017 г.

Тем не менее, лишь в малом числе компаний реализована комплексная программа обеспечения кибербезопасности IoT, что в значительной степени обусловлено медленными темпами подготовки стандартов и основополагающего законодательства в отношении платформы . Вместе с тем, видны первые подвижки в этом направлении: недавно Министерством национальной безопасности 4 США и Министерством торговли США 5 были изданы основополагающие информационные документы с рекомендациями для IoT .

Помимо аспектов безопасности, реализация IoT сопровождается множеством вопросов конфиденциальности, в частности связанных со сбором, хранением и использованием потоков данных, получаемых с помощью IoT-устройств . Если при сборе и использовании данных IoT задействуется личная информация, либо если собранная информация может использоваться для подробного описания деятельности физического лица, компаниям следует рассматривать риски конфиденциальности, связанные с обработкой данных . Поскольку обеспечение безопасности и конфиденциальности в рамках технологии IoT является зарождающимся направлением, у большинства компаний не хватает опыта и ресурсов для самостоятельной разработки, развертывания и использования соответствующих программ .

Тем не менее, ряд организаций уже сегодня делает первые шаги в областях обеспечения безопасности и конфиденциальности .

В этом году 35 % опрошенных в рамках исследования заявили, что имеют действующую стратегию безопасности IoT, а еще 28 % отметили, что находятся в процессе внедрения таковой . Кроме того, 46 % опрошенных сообщили, что будут инвестировать в безопасность «Интернета вещей» в течение следующих 12 месяцев . В их планах финансирование таких инициатив, как разработка новой политики управления данными, межсетевое взаимодействие и выявление уязвимостей устройств и систем, обучение сотрудников и разработка единых стандартов и политики обеспечения безопасности в киберпространстве .

23% 35%опрошенных имеют реализованную стратегию безопасности для «Интернета вещей»


PwC4

4 Министерство национальной безопасности США,«Стратегические принципы обеспечения безопасности «Интернета вещей»», ноябрь 2016 г.

5 Министерство торговли США, «Содействие продвижению «Интернета вещей»», январь 2017 г.

В дополнение к этим программам компаниям потребуется разработать процедуры для обеспечения безопасности и конфиденциальности в киберпространстве, применимых с первого этапа разработки новых программного обеспечения и устройств . Некоторые компании уже пересматривают свою стратегию разработки программного обеспечения для более гибкого обеспечения кибербезопасности подключенных к Интернету устройств .

«Сегодня дальновидные компании выполняют перепроектирование архитектуры написания кода, который используется в устройствах IoT», – комментирует Дэвид Берг, руководитель глобальной практики консультационных услуг PwC по кибербезопасности и конфиденциальности данных» . «Клиенты просят нас создавать такие среды разработки, в которых было бы очень просто постоянно повышать способность продукта к обеспечению собственной безопасности в киберпространстве».

Внедрение политик, технологий и навыков работы с IoT в течение следующих 12 месяцев

37%

35%

35%

34%

35%42%

34%

36%

32%37%

Новые политики сбора, хранения и уничтожения данных

Оценка межсетевого взаимодействия и выявления уязвимости систем и устройств по всей экосистеме организации

Обучение сотрудников методам обеспечения безопасности в IoT

Политики и технологии защиты прав потребителей на неприкосновенность частной жизни

Единые стандарты и политики безопасности в киберпространстве для систем и устройств IoT


Помимо устройств, крупнейшие представители делового сообщества должны быть готовы активно отслеживать и оценивать весь спектр условий и угроз по всем областям, включая TП, которые традиционно отодвигаются на второй план, в некоторых случаях на протяжении десятилетий, поскольку организации сосредоточены на обеспечении безопасности своих IT-систем . «Мы работаем с компаниями, наглядно демонстрируя им, что происходит во всех трех сегментах IoT», – сообщил Дэвид Берг . «Компании должны быть в состоянии видеть проблемы, возникающие на стыке этих трех областей, до того, как они перерастут в нечто более серьезное».

То, что предприятия начинают обращать внимание на обеспечение безопасности и конфиденциальности в киберпространстве для конвергентных технологий – хорошая новость, но еще многое предстоит сделать . Те компании, которые принимают активные меры по реализации комплексной программы обеспечения безопасности

и конфиденциальности в киберпространстве IoT, будут лучше подготовлены к тому, чтобы управлять рисками, неизбежными в будущем, и создавать новые продукты и услуги, способные преобразовывать существующие бизнес-модели . Ознакомимся с шагами, предпринимаемыми организациями для обеспечения безопасности IoT и создания задела для будущих возможностей .

Это третья из четырех частей основных выводов глобального исследования тенденций информационной безопасности за 2017 год, PwC®. В первых двух частях: «Новые шаги в кибербезопасности и конфиденциальности» и «О новых возможностях в управлении угрозами» изучается, как компании, использующие автоматизацию и информатизацию, внедряют новые технологии и процессы обеспечения безопасности в киберпространстве и как предотвращают угрозы.

Просмотр интерактивной хронологии событий на www .pwc .com/gsiss .Полная картина: хронология событий, связанных с технологиями, угрозами и правилами, способствовавших переосмыслению кибербезопасности и конфиденциальности

PwC6

Конкурентные преимущества IoTОчевидно, что технологии IoT станут крупнейшей сенсацией этого десятилетия . Авторы большинства прогнозов сходятся во мнении, что взаимосвязанные функции платформы будут генерировать экспансивный экономический рост путем преобразования бизнес-моделей и выпуска инновационных продуктов и услуг, которые облегчат и сделают безопаснее жизнь потребителей .

Потенциальные преимущества практически не ограничены . В мире цифровых технологий IoT позволит компаниям повысить эффективность операций, переосмыслить отношения с пользователями и создать совершенно новые потоки доходов . Объединение цифровых систем обеспечит беспрецедентный рост уровня жизни, повысит эффективность медицинского обслуживания и создаст новые возможности управления домами и автомобилями . Органы государственной и муниципальной власти будут использовать технологии IoT для создания «умных городов», в интернет-инфраструктуре которых (включающей уличное освещение, мониторинг дорожного движения, «умные» здания и т . д .) будут использоваться данные для улучшения качества жизни и экономии денежных средств граждан .

Сегодня эти структурные преобразования осуществляют переворот в деятельности предприятий практически во всех отраслях, зачастую сопровождаясь большой медийностью и завышенными ожиданиями потребителей .

Рассмотрим автомобиль, подключенный к Интернет . Хотя промышленный выпуск полностью беспилотных автомобилей

ожидается уже через несколько лет, выпускаемые сегодня транспортные средства уже серьезно «заряжены» функциями беспилотного управления благодаря бортовым компьютерам, датчикам, камерам и программному обеспечению . Эти технологии обеспечивают связь с Интернетом, мониторинг «слепых зон», навигацию в реальном времени, предупреждают о смене полосы движения и проводят диагностику транспортных средств . Водители убеждены, что автомобиль завтрашнего дня с системой автоматического управления обеспечит практически непревзойденные удобства, экономию денежных средств за счет профилактики технического обслуживания и повышенную безопасность вождения (см . колонку на странице 11) .

39% 46%опрошенных планируют инвестировать в новые аспекты безопасности, связанные с развивающимися бизнес-моделями



В перспективе технология IoT также изменит то, как медицинские организации проводят мониторинг состояния пациентов, взаимодействуют с ними и предоставляют лечение . На сегодняшний день экосистема медицинского обслуживания включает в себя такое «подключенное» оборудование, как контрольно-регистрирующая аппаратура, «умные» больничные койки, средства предоставления медицинских услуг

на расстоянии и такие медицинские «подключенные» устройства, как кардиостимуляторы и глюкометры . Эти «подключенные» устройства и медицинское оборудование обеспечивают более эффективный уход за пациентами, способствуют выздоровлению и даже помогают прогнозировать тенденции заболеваний в будущем (см . колонку на странице 12) .

* Глобальные данные

Отрасли, с большой вероятностью обладающие стратегией безопасности IoT или внедряющие ее

Планируют инвестировать в IoT-безопасность в следующем году

Телекоммуникации Технологии Автомобильная отрасль

Автомобильная отрасль Промышленные товары Технологии

78%* 73% 69%

55% 55% 53%

PwC8

Сложный вопрос: почему безопасность всегда требует вниманияСегодня «Интернет вещей» – это «Дикий Запад» кибербезопасности и конфиденциальности, неуправляемая страна без законов и норм . Фактически не существует никакого глобального соглашения о том, какие организации владеют платформой IoT и, в конечном счете, отвечают за ее безопасность .

«Вместе с быстрым распространением «Интернета вещей» возникают новые риски, которые пока не совсем ясны и могут иметь широкие последствия», – отмечает Шон Джойс, руководитель отдела кибербезопасности и конфиденциальности подразделения компании PwC в США . «Управление рисками в области кибербезопасности и конфиденциальности и внедрение «подключенных» устройств не должны дорабатываться по мере возникновения проблем – этим аспектам необходимо уделять больше внимания».

Чтобы действовать таким образом, потребуются титанические усилия . «Интернет вещей» состоит из миллиардов устройств и оборудования, в которых используются различные операционные системы, протоколы передачи данных и спецификации аппаратного обеспечения . Огромная область охвата и сложность платформы препятствует разработке концептуальных инфраструктур кибербезопасности и конфиденциальности IoT большинством компаний – им просто не хватает технических специалистов . Несмотря на то, что сторонние производители разработали множество специализированных инфраструктур и дополнительных модулей, такие структуры обычно являются несовместимыми .

Аналогичным образом отсутствуют стандарты для множества устройств, которые уже являются частью экосистемы . В отличие от IT-оборудования, «подключенные» устройства разрабатывались без учета требований безопасности и здесь риски принимают угрожающие масштабы . Компания HP Fortify on Demand проверила 10 наиболее используемых устройств и обнаружила, что в 70 % из них содержатся серьезные уязвимости .6 Устранить эти недостатки сложно, поскольку многим устройствам не хватает вычислительной мощности для реализации основных технологий, таких как шифрование, проверка подлинности и проведение автоматических исправлений . Кроме того, многие из этих устройств разрабатывались и проектировались без учета аспекта безопасности .

34% 35%опрошенных планируют провести оценку межсетевого взаимодействия и выявление уязвимости систем и устройств по всей организационной экосистеме



6 HPE Fortify on Demand, ««Интернет вещей» в объединенном исследовании», июль 2014 г.

С другой стороны, у эксплуатационных технологий и систем инфраструктуры имеется срок эксплуатации, доходящий до нескольких десятков лет . Эти некогда могущественные унаследованные системы часто являются бременем с точки зрения обновления, если их вообще еще можно обновить, учитывая подходящий к концу срок эксплуатации многих из них . Они также могут быть неспособны взаимодействовать с разрозненными новыми системами, программным обеспечением и протоколами передачи данных .

И другой вопрос . IoT представляет собой совершенно новый класс рисков . «Подключенное» оборудование часто взаимодействует с физическими системами и способно выполнять изменения в рабочем процессе, что теоретически может повредить имущество и причинить вред людям . Рассмотрим, например, доказанный

исследователями факт, согласно которому компоненты системы IoT, используемые, например, в электросетях, медицинских приборах и на заводах, подвержены взлому – с проистекающими отсюда потенциально катастрофическими физическими последствиями, вплоть до потери человеческой жизни .

«По мере того как устройства IoT продолжают распространяться в окружающей нас среде, связанные с ними риски возрастают в геометрической прогрессии», – говорит Крис Холл, PwC . «Организации и индивидуальные потребители должны быть намного более осведомленными в вопросах управления этими рисками: от мелочей, таких как изменение паролей по умолчанию, до более сложных, например, сегментация сети или управления устройствами. Подобное неумение действительно может являться вопросом жизни или смерти. Это больше не преувеличение».

PwC10

Автопроизводители соревнуются в безопасности «подключенных» автомобилейНикакая область, затронутая «Интернетом вещей», не поразила воображение общественности столь же сильно, как беспилотные автомобили. Автолюбители мечтают о том дне, когда автомобили с автоматическим управлением значительно упростят ежедневные перемещения и сократят число ДТП, исчезнут автомобильные «пробки», повысится эффективность использования топлива и упростится автоматическое техническое обслуживание.

Благодаря хорошо растиражированным исследованиям они также хорошо осведомлены о риске взлома.

Исследователи доказали, что опытные хакеры способны удаленно соединяться с современными «подключенными» автомобилями, задействуя тормоза, повреждая двигатели и контролируя рулевое управление. Злоумышленники также могут получить доступ к внутрисалонной системе телематики с целью кражи конфиденциальных данных об автомобиле и его водителе. На данный момент нет сведений о подобных взломах, совершенных в реальных условиях. Однако общественность это не успокоило.

Тем временем автопроизводители соревнуются в производстве все более совершенных «подключенных» автомобилей и многие из них делают акцент на безопасности и конфиденциальности. Более половины (54 %) опрошенных в этом году автопроизводителей сообщили, что они изготовляют или продают товары или услуги, которые задействуют внутрисалонные системы телематики. Среди тех, которые производят или продают

такие товары или услуги, 81 % уверены в том, что способны безопасно предоставлять эти услуги. Для разработки инфраструктуры безопасности и архитектуры для средств телематики большинство доверяет традиционным IT-отделам.

Автопроизводители и производители комплектующих также обладают необходимым оборудованием для сбора и использования диагностических данных о транспортных средствах в режиме реального времени. Половина компаний, которые вкладывают средства в технологии удаленной диагностики транспортных средств, уже внедрила функционал диагностического мониторинга, а 74 % реализовали план по обеспечению безопасности данных, полученных с применением средств телематики.

Телематические данные могут открыть много нового об отдельном транспортном средстве и его водителе, включая личную информацию, что может отрицательно сказаться на конфиденциальности данных владельца. Обратим внимание на тот факт, что почти 2/3 (65 %) опрошенных подтвердили, что их компании собирают информацию о местонахождении транспортного средства с помощью систем телематики, а 44 % – собирают данные о водителе.

И они не просто складируют эти данные. Более чем четверть (28 %) опрошенных сообщают, что они используют телематические данные в коммерческих целях, а еще 25 % планируют начать делать это в течение последующих 24 месяцев. На это всегда есть спрос: страховые компании, адвокаты, правоохранительные органы, изготовители вторичных запчастей и т. д. с радостью приобретают телематические данные.


Как устройства улучшают качество медицинского обслуживания пациентовВы, вероятно, уже слышали о спасительных ежедневных 10 000 шагах. Миллионы поклонников фитнеса и ожидающих положительного эффекта от тренировок пытаются достичь этого показателя деятельности, установленного производителями носимых измерительно-контролирующих устройств.

В то время как спортивные браслеты являются наиболее заметными «подключенными» оздоровительными устройствами, компании и потребители успели освоить ряд более сложного IoT-оборудования, включающий, например, имплантированные глюкометры и кардиостимуляторы, системы контроля для ухода за пожилыми людьми, амбулаторные хирургические системы и средства телемедицины.

Среди опрошенных 44 % респондентов-представителей сферы здравоохранения и страхования здоровья заявили об успешной интеграции операционных систем и носимых устройств с их IT-инфраструктурой, эффективно объединив при этом все области применения IoT. 68 % упомянутых респондентов заявили о наличии в их организации технологий сбора данных с носимых устройств.

Приятно слышать, что многие опрошенные рассматривают риски безопасности и конфиденциальности. Фактически же 64 % сообщили, что они проводят оценку рисков в отношении «подключенных» устройств и технологий, чтобы выявить потенциальные уязвимые места безопасности, а более половины (55 %) респондентов сообщили, что ведут контроль безопасности этих устройств.

Риск избытка информацииСегодня большая часть данных, генерируемых IoT, является анонимной и зачастую представляет собой бессмысленные сообщения, передаваемые между компьютерами . Однако все чаще данные, собираемые в экосистеме IoT, содержат сугубо личную информацию о потребителях, которые используют «подключенные» устройства .

Уже сегодня смартфоны, спортивные браслеты, внутрисалонная система телематики и системы управления домом генерируют огромное количество данных, с помощью которых компьютер отслеживает конкретные места и поведение конкретных людей . Использование этих данных для получения представления о поведении потребителей или персонализации обслуживания создает бесчисленные возможности для бизнеса . Вместе с тем компании, использующие личные данные в целях, которые не являются прозрачными

для потребителя, или передающие такие данные сторонним лицам без надлежащего уведомления, рискуют стать нарушителями норм в области защиты и безопасности потребителей . Среди них – нормы Федеральной торговой комиссией (FTC), играющей важнейшую роль в регулировании конфиденциальности информации и безопасности за счет задействования своих широких полномочий для защиты потребителей от несправедливых и мошеннических коммерческих действий .

«Прежде всего, компании должны рассматривать последствия для конфиденциальности при приобретении, хранении и использовании данных, собранных с помощью устройств IoT, и развивать методы управления данными, которые касаются безопасности и конфиденциальности личной информации, хранимой в сети», – поясняет Джоселин Аква, PwC .

PwC12

И тут встает вопрос этического использования данных, новой для многих компаний концепции, которая может отсутствовать в существующих нормах конфиденциальности . По мере сбора и анализа компаниями все более широкого спектра информации, возможно непреднамеренное размытие границ приемлемого использования данных . Рассмотрим следующую ситуацию: специалисты компании включают адреса работников в алгоритмы найма, чтобы определить, насколько близко от работы живут кандидаты . Это нормально и полезно, но эта информация может также использоваться неэтично, позволяя компании дисквалифицировать кандидатов на основе расы, сексуальной ориентации или религии, поскольку районы часто имеют уникальный демографический состав, который соответствуют этим категориям .

Нет ничего удивительного в том, что данные, генерируемые IoT, уже находятся под пристальным вниманием регулирующих органов, готовых наложить крупные штрафы и обязательства по устранению на нарушителей . Для ЕС историческое значение имеют «Общие положения о защите данных» (GDPR), которые устанавливают чреватые серьезными последствиями требования по соблюдению

конфиденциальности данных для любой компании, учрежденной в ЕС и обрабатывающей личные данные, предлагающей товары или услуги или отслеживающей поведение жителей Европы . В Положениях также дается расширенное толкование общепринятого определения личных данных, включающее такие элементы, как геолокация и онлайн-идентификаторы, такие как IP-адрес . После вступления в силу Положения в мае 2018 г . нарушения GDPR смогут повлечь за собой наложение штрафов в размере до 4 % от годового глобального оборота . (Подробнее о влиянии GDPR на российские компании можно найти на www .pwc .ru/gdpr) .

Недавно в США Федеральная торговая комиссия (FTC) оштрафовала компанию, занимающуюся мобильной рекламой, которая отслеживала данные геолокации пользователей без их разрешения .7 FTC оштрафовала компанию на 950 тыс . долларов США и запретила ей собирать информацию о местоположении пользователей без их прямого согласия . Комиссия также потребовала, чтобы упомянутая компания установила программу обеспечения конфиденциальности данных, по которой в ближайшие 20 лет раз в два года должен проводиться независимый аудит .

«Прежде всего, компании должны рассматривать последствия для конфиденциальности при приобретении, хранении и использовании данных, собранных с помощью устройств IoT, и развивать методы управления данными, которые касаются безопасности и конфиденциальности личной информации, хранимой в сети», – поясняет Джоселин Аква, PwC .


7 Федеральная торговая комиссия, FTC оштрафовала сеть мобильной рекламы InMobi за отслеживание местонахождения сотен миллионов абонентов без разрешения, 22 июня 2016 г.

Шаги к обеспечению безопасности в киберпространстве IoTРуководство многих компаний считает, что возможности IoT слишком привлекательны, чтобы их игнорировать . Они видят в новой платформе «катализатора» перемен, средство для увеличения конкурентных преимуществ, повышения эффективности деятельности и создания новых потоков дохода .

Проблема в том, что многие из них «бросаются» в IoT, не внедрив меры по обеспечению безопасности в киберпространстве . Конечно, отсутствие стандартов в сфере IoT является значительным препятствием, но оно не является непреодолимым . «Компании могут использовать существующие эффективные методы для построения прочного фундамента безопасности в киберпространстве IoT», – заявил Шон Коннорс, PwC .

«Учитывая распространение технологий безопасности киберпространства по всем организационным экосистемам, мы выступаем за что, чтобы компании вступали в диалог со своими технологическими партнерами, направленный на улучшение выявления данных, полученных или переданных с применением IoT, а также управления ими и обеспечения их безопасности», – сообщил Коннорс .

“По нашему мнению, многие организации вскоре поймут, что существующие корпоративные технологии ожидает быстрое развитие в сферах управления потоками данных и их защиты в сетях IoT. Внимательное наблюдение за контингентом узкопрофильных поставщиков также имеет важное значение, но учитывая, что IoT делают процесс управления данными компании еще более сложным, начало разговора о поиске решений с теми, кому хорошо известна ваша организация – правильный первый шаг».

PwC14

«Учитывая распространение технологий безопасности киберпространства по всем организационным экосистемам, мы выступаем за что, чтобы компании начинали диалог со своими технологическими партнерами, направленный на улучшение выявления данных, полученных или переданных с применением IoT, а также управления ими и обеспечения их безопасности», – отметил Шон Коннорс, PwC .

Любая инициатива по реализации безопасности в киберпространстве IoT должна начинаться с тщательной оценки всех данных по всей организационной экосистеме, включая расширенную платформу IoT, сторонних партнеров и сети связи . Организациям необходимо обладать глубоким пониманием того, каковы ценность собираемых данных, количество и тип информационных активов, где расположены и куда передаются данные, кто имеет доступ к этой информации и какими могут быть последствия взлома . Использование личной информации должно ограничиваться конкретными целями, ради которых она собиралась .

В качестве наиболее эффективного подхода к разработке рассматривается понятие «встроенного алгоритма конфиденциальности» (англ . “Privacy by design”) и в настоящее время является обязательным согласно GDPR . Согласно этому подходу, разработчики продукта и услуг должны изначально продумывать, какие личные данные действительно необходимы, и использовать механизмы, которые сводят

к минимуму, обезличивают или иным образом затрудняют понимание идентифицирующих данных . Организациям необходимо постепенно внедрять этот подход и позволять разработчикам запрашивать такую личную информацию, которая действительно необходима для правильной работы продукта или услуги .

Транснациональным компаниям необходимо внедрять процессы и средства контроля, обеспечивающие соблюдение законодательных требований при передаче личной информации через границы . Это потребует оперативного понимания правил обеспечения конфиденциальности данных в различных географических зонах и знания актуальных вопросов этического использования информации . Выходя за рамки GDPR, компании должны уделять большое внимание работе с заинтересованными правоохранительными и контролирующими сторонами, чтобы убедиться в реализации соответствующих мер по обеспечению конфиденциальности .


Помимо данных, неотъемлемой частью общей работы будет являться оценка возможностей безопасности «подключенных» устройств . Поскольку платформа IoT развивается, а количество «подключенных» устройств растет, маловероятно, что компании смогут оценивать все «подключенное» оборудование, однако их задачей является выявление, учет и оценка возможностей обеспечения безопасности оборудования с повышенным риском . Эта оценка должна быть выполнена в отношении сетей, приложений, данных и физических уровней и включать тестирование нарушений этических норм и уязвимостей, чтобы идентифицировать недостатки устройств, подключенных к Интернету, и возможность использования в хакерских целях .

Компаниям также следует тщательно оценивать потенциальные уязвимости в точках входа между сервисами и устройствами . Киберпреступники часто используют

«По нашему мнению, многие организации вскоре поймут, что существующие корпоративные технологии ожидает быстрое развитие в сферах управления потоками данных и их защиты в сетях IoT. Внимательное наблюдение за контингентом узкопрофильных поставщиков также имеет важное значение, но учитывая, что IoT делают процесс управления данными компании еще более сложным, начало разговора о поиске решений с теми, кому хорошо известна ваша организация – правильный первый шаг», – сообщил Шон Коннорс, PwC .

недостатки в API-интерфейсах, соединяющих мобильные устройства, веб-интерфейсы и облачные системы, чтобы проникнуть в ту или иную сеть или систему .

Как отмечалось выше, продолжительный срок службы операционных систем представляет особый интерес . Обслуживание технологического оборудования часто ведется с куда меньшей тщательностью, чем в случае IT-систем, и может годами работать без исправлений или обновлений . С другой стороны, новые «подключенные» устройства с минимальным количеством опций зачастую не поддерживают автоматическое обновление . И тем не менее, компаниям необходимо внедрять процессы обновления особо важного оборудования всегда, когда это возможно, и включать исправления программного обеспечения устройств IoT в их политики управления уязвимостью . В случае наличия слишком старых систем для поддержки

PwC16

такого типа автоматического обновления, организации могут сегментировать их на собственную подсеть, тем самым снижая риск . Кроме того, необходимо проводить активный мониторинг этих устройств с целью трансляции предупреждений о любых аномальностях в их поведении, а также общем состоянии системы .

Как и в инфраструктурах ТП и IT, компоненты IoT уязвимы при использовании привилегированных учетных записей, которые могут обеспечить «зеленый коридор» для прохождения вредоносного ПО с целью кражи конфиденциальных данных, взлома систем и информационных активов . Многие организации не обращают внимания

на риски, связанные с привилегированными учетными записями, даже в собственной IT-среде, и могут непреднамеренно присвоить устройству IoT привилегированную учетную запись, нарушающую защиту киберпространства компании . Основные меры предосторожности заключаются в использовании надежных паролей для устройств, связанных с привилегированными учетными записями, и ограничении обмена данными привилегированных учетных записей среди IT-администраторов .


Эффективное использование существующих технологий для интеграции кибербезопасностиДля программы безопасности в киберпространстве IoT необязательно требуется оптовая закупка новых технологий и решений . Вместо этого организации могут начать с интеграции основных мер по обеспечению безопасности в киберпространстве в свою инфраструктуру IoT .

По мере перехода идентификационной информации от людей и приложений к «подключенным» устройствам, управление идентификацией и доступом пользователей (IAM) будет становиться все более важной областью . Огромное количество идентификационных записей в экосистеме IoT потребует наличия единообразного подхода к авторизации и лишения доступа к данным, а также возможности беспрепятственного применения политики безопасности во всех областях .

Сегодня как никогда важно интегрировать в решения IAM надежную аутентификацию пользователей, чтобы защитить «подключенные» устройства на которых хранятся или передаются конфиденциальные данные . При проведении аутентификации следует применять принцип предоставления наименьших привилегий и разделять роли пользователей в многосетевой среде . В то время как многофакторная аутентификация и биометрия могут применяться только при идентификации человека, эти технологии по-прежнему будут играть роль для более эффективного обеспечения безопасности инфраструктуры .

Шифрование – это еще одна важнейшая технология защиты личных данных . Однако, как отмечалось ранее, элементарные «подключенные» устройства могут не располагать достаточной для управления ключами шифрования вычислительной мощностью . Тем не менее, когда это возможно компании должны реализовывать

криптографически стойкие алгоритмы шифрования данных и обеспечивать скрытое отображение ключей шифрования . Как при хранении, так и при передаче все личные данные должны быть зашифрованы в максимально возможной степени . Главная загвоздка состоит в том, чтобы реализовать это не увеличивая затраты, не усложняя процесс и не замедляя обработку данных .

Для обеспечения безопасности IoT некоторые дальновидные компании используют архитектуру информационной безопасности предприятия (ESA), которая встраивается в архитектурные компоненты во всех областях . ESA может быть особенно полезна компаниям в интеграции и защите новых слоев, таких как датчики, дополнительные сетевые и вычислительные платформы и сервисные платформы, которые неизменно будут появляться в стойках устройств безопасности предприятий с развитием IoT . Архитектура ESA позволяет организациям применять соответствующие методы контроля безопасности для этих дополнительных слоев и интегрировать их в стойки предприятия, эффективно используя такие связующие звенья, как уровни сети и каналы связи .

30% 43%опрошенных планируют инвестировать в биометрическую и усиленную аутентификацию в следующем году


PwC18

Человеческие ресурсы: слабое место безопасности в киберпространствеПрограмма обеспечения безопасности в киберпространстве сильна лишь настолько, настолько сильно ее самое слабое звено . Часто этим слабым звеном оказываются сотрудники, недостаточно владеющие процедурами кибербезопасности и конфиденциальности . Как правило, сотрудники являются основным источником инцидентов, связанных с нарушением безопасности . И хотя некоторые из них действуют со злым умыслом, многие неосознанно провоцируют инциденты из-за простой невнимательности или неосведомленности об основных мерах предосторожности .

В настоящее время большинство представителей крупного бизнеса знают, что обучение сотрудников является основополагающим элементом любой программы обеспечения безопасности в киберпространстве – и немного более половины (53 %) опрошенных в этом году имеют в штате сотрудника, отвечающего за программу осведомленности о важности безопасности . Обучение методам обеспечения безопасности IoT пока не нашло широкого распространения в большей части организаций, но многообещающим является тот факт, что 35 % опрошенных заявили, что в этом году планируют вкладывать средства в обучение сотрудников методам безопасности IoT в киберпространстве .

Для достижения наивысшей эффективности обучение должно быть адаптировано к угрозам, ориентировано на готовность к действию и процессам определенной компании . Формирование культуры безопасности будет наиболее эффективным, когда вопрос важности информационной защиты бизнес-среды будет поставлен исполнительным руководством как приоритетный . «Инициатива должна исходить от руководства организации, чтобы обучение в сфере безопасности действительно приближало цифровое будущее компании», –

пояснил Грант Вотерфолл, глобальный руководитель отдела по вопросам обеспечения кибербезопасности и конфиденциальности, PwC . «Далее им необходимо объединить обучение и цели компании и разработать программы осведомленности о важности безопасности в рамках такого обучения» .

Помимо обучения сотрудников, для обеспечения безопасности IoT в киберпространстве потребуется знание сотрудниками новых сфер компетенции, которые выходят за рамки обычной IT-безопасности . Например, специалистам в области безопасности потребуются практические знания о встраиваемых устройствах, датчиках и межкомпьютерной передаче данных . Они должны обладать опытом в интеграции разнородных протоколов передачи данных, связи и проектирования сетей – как в рамках локальной инфраструктуры, так и в облачных средах . Для того чтобы повысить качество собираемых данных по различным системам и сегментам, потребуются профессионализм в области создания алгоритмов и способность отличать аналитическую информацию от помех, создаваемых огромными объемами данных .

42% 35%опрошенных планируют инвестировать в профессиональную подготовку по IoT в ближайшие 12 месяцев



Управление динамическими рисками IoT станет непростой задачей для организаций, сотрудникам которых не достает квалификации в области создания, реализации и управления системой безопасности IoT . Вместо использования внутренних ресурсов для разработки сквозной программы обеспечения безопасности в киберпространстве, некоторые компании обращаются к поставщикам услуг по управлению информационной безопасностью, которые специализируются на IoT . В дополнение к профессионализму в обеспечении безопасности и реализации инфраструктуры IoT, поставщики таких услуг также могут помочь в решении вопросов глобальной нехватки квалифицированных специалистов по безопасности в киберпространстве и облегчить нагрузку на бюджет .

Прокладывая путь в будущееIoT может в корне изменить бизнес-модели, перевернуть привычные модели экономики по всему миру и дать обществу беспрецедентные возможности . Комплексная программа кибербезопасности и конфиденциальности является ключом к реализации потенциальных преимуществ по мере развития «Интернета вещей» . В конце концов компании, которые разрабатывают системы и продукты IoT в соответствии как с новыми стандартами безопасности в киберпространстве, так и с существующими мерами, будут обладать серьезной форой в использовании многочисленных преимуществ интегрированной платформы будущего .

PwC20

Методология

34% – Северная Америка

13% — Южная Америка

31% – Европа

20% – Азиатско-Тихоокеанский регион

3% – Ближний Восток и Африка

Погрешность составляет менее 1 %; в сумме цифры могут составлять менее 100 % из-за округления . Все цифр и графики, использованные в настоящем отчете, являются результатами исследований

Основная концепция киберфизических систем, редакция 1.0: методологические указания Национального института стандартов и технологий США (NIST) для киберфизических систем.

Осторожное подключение: путь к безопасности в Интернете вещей: рекомендация Федеральной торговой комиссии США по созданию безопасности «Интернета вещей».

Повышение эффективности «Интернета вещей»: обзор министерства торговли США общей ситуации по IoT, требований по инфраструктуре и наилучших методов обеспечения кибербезопасности и конфиденциальности.

Стратегические принципы обеспечения безопасности «Интернета вещей»: руководство Министерства национальной безопасности США по принципам и рекомендуемым наилучшим методам обеспечения безопасности устройств и систем в IoT.

Разработка систем обеспечения безопасности: особенности многодисциплинарного подхода при разработке надежных безопасных систем (NIST, специальное издание 800-160):Национальный институт стандартов и технологий США (NIST) представляет более подробное описание подхода к проектированию полного жизненного цикла устройств и систем IoT.

Полезные материалы

Глобальное исследование тенденций информационной безопасности за 2017® является международным исследованием, проведенным компанией PwC совместно с журналами CIO и CSO. Оно проводилось в сети с 4 апреля по 3 июня 2016 г. К участию в опросе читатели журналов CIO и CSO и клиенты PwC по всему мира были приглашены по электронной почте.

Результаты, обсуждаемые в настоящем докладе, основаны на ответах более чем 10 000 генеральных директоров, финансовых директоров, директоров

по информации, начальников управлений информационной безопасностью, научных руководителей компании, вице-президентов и директоров по IT и методам обеспечения безопасности из более чем 133 стран.

Более трети опрошенных (34 %), участвовавших в исследовании, — из Северной Америки, 31 % — из Европы, 20 % — из Азиатско-Тихоокеанского региона, 13 % — из Южной Америки и 3 % — из стран Ближнего Востока и Африки.


PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Владикавказе и Уфе работают более 2 500 специалистов. Мы используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса.

Под «PwC» понимается сеть PwC и/или одна или несколько фирм, входящих в нее, каждая из которых является самостоятельным юридическим лицом. Глобальная сеть PwC объединяет более 223 000 сотрудников в 157 странах. Более подробная информация представлена на сайте http://www.pwc.ru/ru/about.html

© 2017 PwC. Все права защищены.

www.pwc.ru/gsiss

Контакты

Тим КлауПартнер, руководитель отдела анализа и контроля рисков PwC в России+7 495 967 6018tim .clough@ru .pwc .com

Роман ЧаплыгинДиректор, отдел анализа и контроля рисков, услуги в области кибербезопасности+7 495 967 6056roman .chaplygin@ru .pwc .com

Раскрывая потенциал «Интернета вещей» (IoT) ·...

Documents

Transcript of Раскрывая потенциал «Интернета вещей» (IoT) ·...