Несомненно, вокруг Интернета вещей присутствует множество подводных камней, связанных с защитой данных. Новое исследование поставщика систем безопасности Zscaler показывает, что одна из наиболее серьезных проблем связана с растущим распространением «теневого Интернета вещей» и использованием сотрудниками в корпоративных сетях своих личных устройств.
В отчете «Интернет вещей на предприятиях в 2020 году» указывается, что размытие границ между домашними и офисными устройствами снижает безопасность корпоративных сетей, даже если мы имеем дело с чисто корпоративными оконечными устройствами Интернета вещей, такими как терминалы сбора данных и промышленные контроллеры.
«Анализ показывает, что значительная часть корпоративного трафика генерируется неавторизованными устройствами Интернета вещей: домашними цифровыми помощниками, телевизионными приставками, IP-камерами, интеллектуальными домашними устройствами, умными телевизорами, умными часами и даже автомобильными мультимедийными системами», – подчеркивают авторы отчета.
Основываясь на анализе сетевого трафика клиентов Zscaler, можно сделать вывод, что 83% всех онлайн-транзакций Интернета вещей (под этим термином в компании понимают обмен данными между «умными» устройствами) инициируются в виде обычного текста, без использования средств шифрования SSL. Это связано в том числе и с тем, что потребительские устройства, которые менее безопасны, чем корпоративные, генерируют значительную часть трафика в корпоративных сетях.
Нынешняя проблема похожа на ту, с которой бизнес лет десять назад столкнулся в лице феномена BYOD. Корпоративные сети оказались неподготовленными к наплыву устройств, которые не принадлежали предприятиям. В результате стало появляться множество различных способов защиты сетей как от случайного, так и от намеренного воздействия.
Если раньше проблема заключалась в том, что сотрудники используют смартфоны для доступа к корпоративным ресурсам небезопасными способами – храня, к примеру, конфиденциальные данные в незашифрованном виде на своем «айфоне», который легко может быть утерян или похищен – то теперь она связана с подключением к корпоративным сетям небезопасных устройств (скажем, для удаленной проверки камеры, установленной в комнате у ребенка). Злоумышленники могут вычленять из этих незашифрованных передач учетные данные, используя их затем для доступа к более защищенным системам или превращая небезопасные устройства в ботнеты.
Конечно, к такому отчету следует относиться с известной долей скептицизма – при изучении проблем, с которыми призваны бороться их продукты, поставщики средств безопасности редко проявляют сдержанность и уравновешенность. Однако нельзя отрицать и того, что массовая передача незащищенного, незашифрованного трафика и широкое распространение в корпоративных сетях потребительских устройств Интернета вещей порождает новые вопросы, связанные с безопасностью.