«Некоторые производители, разрабатывающие подобные продукты, прилагают определенные усилия для обеспечения безопасности, но по сведениям Gartner, большинство сейчас этого не делает — приоритет на данный момент у удобства, дружественности к пользователю и сроков выпуска на рынок», — указал Эрл Перкинс, вице-президент по исследованиям Gartner.
Производители комплектующих для подобных устройств, между тем, не забывают о безопасности; пример — недавно ARM приобрела компанию Offspark, чья реализация протокола шифрования TLS будет встроена в операционную систему ARM mbed.
«В Gartner считают, что это приобретение отражает общую тенденцию по отрасли: производители микросхем осознают, что продажи их продукции будут все больше зависеть от программных средств безопасности, — отметил Перкинс. — В этом году поставщики комплектующих продолжат делать подобные приобретения. Не могу говорить подробнее о тех, кто только начинает развивать соответствующее направление, но приведу в пример корпорацию Intel, которая за последние несколько лет сделала ряд приобретений, чтобы сформировать портфель средств разработки и защиты приложений Интернета вещей».
С устройствами для Интернета вещей ситуация иная. Поскольку их конструкторы меньше заботятся о безопасности, чем производители компонентов, заказчикам придется самостоятельно оценивать защищенность приобретаемых ими продуктов, чтобы убедиться в отсутствии слабых мест, подобных тем, которых было множество на ранних стадиях развития мэйнфреймов, веб-приложений, мобильных устройств и облачных архитектур, продолжил аналитик. «Нужно информировать потребителей и корпоративных пользователей о проблеме, чтобы они требовали безопасности Интернета вещей, и ситуации прошлого не повторялись», — добавил он.
В HP изучили потребительские устройства Интернета вещей и пришли к выводу, что им недостает средств защиты. В рамках прошлогоднего исследования в компании рассмотрели десять самых популярных на то время устройств, а в ходе еще одного, опубликованного недавно, — десять домашних систем безопасности. В обоих случаях оказалось, что уровень защищенности аппаратного обеспечения недостаточен.
Лучшее, что смогли посоветовать в HP своим заказчикам — изолировать устройства Интернета Вещей от остальной части сети, чтобы в случае компрометации ограничить ущерб, а также включить функции безопасности, которые по умолчанию могут быть дезактивированы. В частности, можно установить более сильный пароль, включить блокировку аккаунта после некоторого числа неудачных попыток входа и задействовать двухфакторную аутентификацию.
В HP считают проблему настолько важной, что финансируют работу исследовательской группы Internet of Things Top Ten в составе фонда Open Web Application Security Project, занимающуюся освещением проблем безопасности, которые нужно учитывать при проектировании, выборе и внедрении устройств Интернета вещей.
Исследователи составили десятку главных проблем безопасности, связанных с Интернетом вещей, и разработали рекомендации по их предотвращению. В этот «топ» вошли незащищенные веб-интерфейсы, слабая аутентификация, ограниченные возможности конфигурирования устройства, ошибки в программном и обеспечении и прошивках, незащищенные облачные и мобильные интерфейсы, отсутствие поддержки TLS.
Потребность в повышении защищенности оборудования Интернета вещей будет становиться все острее по мере того как предприятия начнут полагаться на Интернет вещей в своем бизнесе. Недавно в Gartner провели опрос среди своих 463 корпоративных клиентов, и 63% из них высказали прогноз, что Интернет вещей в ближайшие пять лет полностью изменит их бизнес, создаст новые крупные источники дохода или начнет приносить значительную экономию затрат.
По прогнозу Gartner, сильнее всего благодаря Интернету вещей изменятся производственный и рознично-торговый бизнес, а меньше всего — госсектор, образование, банковская и страховая сферы.
Как отмечает Перкинс, у производителей комплектующих, поставщиков устройств на их основе и провайдеров, применяющих эти устройства для предоставления сервисов, будут свои наборы задач, связанных с обеспечением безопасности. «На разных участках цепочки поставок, оканчивающейся потребителем или корпоративным пользователем, требования к безопасности различаются, — добавляет он. — Хотелось бы, чтобы все участники цепочки помнили о своей роли в обеспечении общей безопасности, но к сожалению, это далеко не всегда так».