Умный город должен повышать качество жизни с помощью ИТ-инфраструктуры, улучшающей различные аспекты повседневной деятельности горожан. Соответствующая архитектура такого города имеет много уровней (рис.), на каждом из которых имеется множество точек, требующих защиты от возможных атак. Обеспечение безопасности и приватности должно быть приоритетом, учитывая наличие большого количества оконечных устройств, соединенных с Интернетом, которые обмениваются информацией друг с другом и накапливают данные в облаке. Кибератаки могут наносить большой ущерб, учитывая, что умный город работает на киберфизических системах, состоящих из взаимодействующих устройств и систем Интернета вещей [1].

Многоуровневая киберзащита для умного города
Многоуровневая архитектура умного города (источник: flaticon.com)

Имеется ряд исследований, посвященных трудностям, связанным с обеспечением безопасности и приватности в области медицины, транспорта, умных зданий и энергетики [2], но пока мало работ по проблемам обеспечения безопасности и приватности в рамках сложной многоуровневой инфраструктуры, включающей конечные устройства, датчики, приложения, сети и средства коммуникации с облаком.

Точки атаки в умном городе

В таблице перечислены точки атаки, возможные на различных уровнях умного города: оборудование, приложения, сети и облака.

Многоуровневая киберзащита для умного города

Уровень устройств и датчиков

Чипы оборудования, управляющего цифровыми устройствами или датчиками, могут подвергаться физическим атакам. В светофорах, уличных фонарях, системах управления парковками часто применяются беспроводные датчики, уязвимые для взлома. Уже известны случаи, когда встроенная электроника светофоров и медицинской техники, счетчики электроэнергии и домашние сети взламывались на аппаратном уровне [3]. В частности, в инфраструктуре компании — поставщика медицинской техники Medtronic были найдены уязвимости, позволяющие злоумышленнику удаленно управлять кардиостимулятором после внесения изменений в обновления программного обеспечения.

Уровень приложений

Многие элементы умного города предусматривают веб- или мобильные приложения для контроля устройств и датчиков, а также управления данными. Но такие приложения регулярно становятся объектами атак межсайтового скриптинга (cross-site scritpting, XSS, внедрение вредоносных скриптов) и посредничества (man-in-the-middle, MITM, перехват данных при передаче). Атаки аналогичных типов могут быть направлены против умного города — если нет соответствующих мер защиты, то данные, передаваемые по сети города, можно перехватить или изменить.

Веб-сайты относятся к уровню приложений и используются для управления устройствами и системами умного города, и они в первую очередь могут быть атакованы злоумышленниками. В 2017 году, например, была совершена XSS-атака на сайт eBay — вредоносный код JavaScript внедрили в описания аукционов и использовали уязвимость для размещения кода переадресации на лоты с дорогостоящими автомобилями.

Уровень сети

Устройства, датчики, сетевое оборудование и облака, используемые умным городом, постоянно обмениваются друг с другом данными, для передачи которых на разные дистанции используются различные сетевые протоколы: Wi-Fi, Bluetooth, Zigbee, Z-Wave, LoRa, NB-IoT, WAVE и 5G-eVTX. На уровне сети могут осуществляться атаки посредничества и модификации пакетов — имеются прецеденты перехвата и подмены данных с помощью этих методов. В частности, с помощью MITM-атак, нацеленных на холодильники Samsung и другие умные устройства, производились внедрение в домашние сети и кража учетных данных владельцев бытовой техники из их аккаунтов Gmail.

Уровень облака и периферии

Устройства и датчики умного города генерируют цифровые данные в режиме реального времени и отправляют их в облака. Благодаря анализу этих данных город «умнеет», получая информацию, позволяющую улучшить его различные функции, однако с точки зрения безопасности большой объем удаленно хранимых данных, созданных людьми, организациями и госструктурами, может стать угрозой. При утечке нарушается приватность, данные могут быть использованы злоумышленниками, и уже было предостаточно случаев утечки данных, хранимых в облаке, в том числе личной информации пользователей. Учитывая, что хранение данных в облаке и на периферии играет важную роль в умных городах, из-за утечки на уровне облака может быть нанесен серьезный вторичный ущерб.

Сценарии угроз

Хаос дорожного движения

Паралич дорожного движения из-за взлома систем управления — самая заметная атака в умных городах, где широко используются беспилотные автомобили и маршрутные такси, другие транспортные средства, обменивающиеся данными друг с другом, а также с парковочными и прочими сервисами. Атаковав автомобили-роботы, злоумышленники берут их под контроль и пытаются вызвать хаос дорожного движения путем подделки и изменения коммуникационных пакетов. Специалисты по безопасности компании IOActive взломали оборудование системы управления дорожным движением крупного города, тем самым показав, что злоумышленники способны вызывать крупные заторы и ДТП.

На уровне устройств и датчиков возможны атаки компрометации цепочки поставок и порчи прошивок. Приложения, управляющие транспортными системами, могут быть атакованы с целью доступа к учетным данным, уничтожения информации и вызова отказа в обслуживании на оконечных устройствах. Устройства в рамках умной транспортной системы соединены сетями друг с другом, соответственно, атаки посредничества, а также направленные на отказ в обслуживании сети и остановку сервисов могут создавать угрозу для всего города.

Медицинские программы-шантажисты

В умных городах станут нормой персонализированные медицинские услуги и удаленное обследование с помощью умных устройств. Соответственно, медицинские устройства и их приложения, конфиденциальная информация о здоровье, системы больших данных и центры управления медицинскими данными — очевидные потенциальные мишени. Если медицинское устройство, например, аппарат искусственного дыхания или инсулиновая помпа, взломано, то под угрозой оказывается жизнь пациента. В 2018 году базу данных медицинского объединения заразили вредоносной программой, в результате чего были похищены около 16 тыс. рецептов. С помощью таких атак можно размещать программы-шантажисты для вымогательства денег у пациентов или обслуживающих их врачей.

На уровне устройств и датчиков медицинского оборудования возможны атаки компрометации цепочки поставок и порчи прошивок. Для получения доступа к приложению, управляющему медицинским оборудованием, либо к приложению пациента злоумышленники могут предварительно провести атаку для кражи учетных данных или уничтожения важной информации. Учреждения и устройства, участвующие в интеллектуальных медицинских системах, соединены друг с другом сетями, а значит, на соответствующем уровне возможны частые атаки отказа в обслуживании или остановки сервисов, создающие угрозу и пациентам, и учреждениям.

Взлом энергетических систем

Кибератаки против датчиков выработки и потребления энергии и соответствующих систем управления могут нанести колоссальный ущерб умным городам. Атаки такого рода уже происходят — в 2015 году на Украине были взломаны энергосети, что привело к остановке 30 подстанций и прекращению подачи электричества. В 2016 году электростанция в Мичигане была заражена программой-вымогателем. Атака была направлена на программируемый логический контроллер, игравший важную роль в работе электростанции. Если бы управление аналогичным устройством на химическом заводе было перехвачено злоумышленниками, под угрозой могла оказаться огромная территория.

Существенный вред может быть нанесен атаками на прошивки оборудования систем управления энергоснабжением. Злоумышленники также могут зашифровать критически важные данные энергетических систем с целью вымогательства и выполнять атаки на отказ в обслуживании с помощью лавинной рассылки пакетов и вывода сервисов из строя.

Атаки против зданий

Если домашняя или корпоративная сеть в здании оказалась заражена вредоносной программой, она может распространиться и на умные устройства, то есть в случае успешной атаки на какую-то часть здания его можно инфицировать целиком. Жильцов могут тайно снимать через камеру взломанного умного телевизора, зараженные умные колонки смогут подслушивать разговоры, а системы видеоконференцсвязи — записывать содержание переговоров в компаниях.

Что касается аппаратного уровня, то возможны атаки компрометации цепочки поставок или порчи прошивки устройств, используемых в домах и офисах. Как и в других ситуациях, в сетевой среде возможны атаки посредничества. К тому же, учитывая ограниченный размер домашних и офисных сетей, злоумышленникам проще красть данные путем перехвата сетевых пакетов или создавать помехи для работы устройств путем глушения радиосигнала.

Взлом системы безопасности

При взломе информационных систем умного города, использующего большие данные для повышения удобства обслуживания жителей, может произойти масштабная утечка данных. Атаки в отношении данных городской администрации, системы здравоохранения и финансовых учреждений способны подорвать основы функционирования города. В 2017 году была взломана база данных американской сети больниц Atrium Health, в результате чего произошла утечка 2,65 млн персональных записей — пример, убедительно иллюстрирующий масштабы возможного вторжения в частную жизнь жителей умного города.

Для взлома системы безопасности нужен ключ к пространству хранения данных, например имя пользователя, пароль и токен — злоумышленники могут попытаться получить их путем атаки на целевые системы. Возможны утечки в результате атак фиксации данных на уровне периферии и облака, эксфильтрации скомпрометированных данных через альтернативные каналы и передачи их по расписанию. За похищенные личные данные можно пытаться получить деньги в даркнете — тем самым будет нанесен вторичный ущерб.

Защита умного города

Управление рисками кибербезопасности

Градостроителям и городским администрациям необходимо заранее выбирать способы защиты инфраструктуры от угроз с учетом того, что в умных городах нужно обеспечить безопасность на нескольких уровнях. Необходимо проанализировать угрозы для каждого компонента и предусматривать меры защиты для всех уровней.

Для управления рисками можно подготовить план действий на базе рамочной программы кибербезопасности от Национального института стандартов и технологий (NIST). Документ содержит подробное руководство по разработке профиля кибербезопасности, утверждению приоритетов и мер в соответствии с устойчивостью города к рискам и его особенностям. Кроме того, сервисы лучше с самого начала разрабатывать с учетом законодательных требований по защите информации.

Киберпатрульные

Подобно тому как опасные и уязвимые территории нуждаются в патрулировании, умным технологиям нужен мониторинг для обнаружения и предотвращения кибератак. Можно было бы создать бота, выполняющего роль патрульной системы для идентификации аномалий в компонентах умного города. Такая система могла бы фиксировать данные об общем состоянии умного города, цифровых оконечных устройств, датчиков и сетевого трафика. Анализ этих данных позволил бы оценивать уязвимость для различных угроз. При обнаружении любой атаки робот инициировал бы широкий круг мер противодействия. Однако у такого решения есть ряд ограничений. Роботы для киберпатрулирования были бы эффективны при условии интероперабельности всех систем, но в реальном мире это не так, особенно учитывая сложности обеспечения совместимости с унаследованными системами, например, системами управления дорожным движением. Нужны исследования, позволяющие выяснить, как лучше интегрировать существующие и новые технологии для создания глобальной системы мониторинга. При этом технические средства и решения на базе регламентов и стандартов должны взаимно дополнять друг друга.

Метки безопасности и приватности

Большинство товаров в магазинах имеют маркировку с описанием, призванную обеспечить безопасность потребителя, в частности, есть сведения об ингредиентах и заводе-производителе. На упаковке указывают питательную ценность, чтобы покупатели могли заботиться о своем здоровье, а игроки рынка пищевой индустрии конкурировали по поставкам здорового питания без необходимости ввода соответствующих регламентов. По аналогии для устройств, датчиков и систем Интернета вещей умного города можно разработать маркировку, в которой бы содержались подробные описания рисков безопасности и приватности. Для индивидуальных продуктов похожая концепция уже предложена. В умном городе метки безопасности и приватности как отдельных устройств, так и огромных систем могут предоставляться администратору в форме пошаговых инструкций или предупреждений. Такая метка может содержать, например, следующие сведения.

Механизмы безопасности: обновления безопасности доступны до 27 февраля 2020 года; управление доступом с помощью пароля, идентификации по лицу или отпечатку пальца.

Работа с данными: типы данных, фиксируемые датчиками (текст, аудио, видео); данные хранятся на оконечном устройстве или на периферии (в облаке); данные передаются провайдеру, производителю и уполномоченным лицам.

Метки приватности и безопасности помогут покупателям электронных устройств или компонентов системы принимать решения, информируя их о возможных рисках, которые создают приобретаемые цифровые ресурсы. При этом сведения в метках должны быть представлены в доступной форме, понятной не только ИТ-специалистам.

Подготовка специалистов по кибербезопасности

Для безопасности умных городов нужно учредить образовательные программы подготовки высококвалифицированных специалистов. При разработке проектов для умного города местные администрации столкнутся с привычными для частного сектора проблемами нехватки кадров, обладающих навыками в области кибербезопасности. Чтобы города стали безопаснее, чиновникам нужно сотрудничать с образовательными учреждениями в целях подготовки новых кадров и систематической разработки программ повышения квалификации.

В рамках курса обучения по киберфизическим системам и Интернету вещей можно заимствовать элементы уже существующих программ в области инженерного дела и информатики. Для начала стоит разработать факультативные предметы по таким системам для студентов, проходящих обучение по инженерным дисциплинам, или по крайней мере добавить соответствующие концепции к традиционным курсам. Возможно, стоит провести дополнительное обучение для действующих и отошедших от дел ИТ-специалистов, желающих взять на себя работу по защите города.

***

Умные города постепенно становятся реальностью — в ряде стран в мегаполисах уже проектируют и внедряют соответствующие технологии. Когда города станут умнее, комфорт жителей увеличится, но умный город — это масштабная среда, в которой возможны кибератаки на ее любые элементы, расположенные на разных уровнях.

Литература

1. AldairiA., Tawalbeh L. Cybersecurity attacks on smart cities and associated mobile technologies // Procedia Comput. Sci. 2017 Dec., vol. 109, pp. 1086–1091. DOI: 10.1016/j.procs.2017.05.391.

2. BraunT., Fung B. C. M., Iqbal F., Shah B. Security and privacy challenges in smart cities // Sustainable Cities Soc. 2018 May, vol. 39, pp. 499–507. DOI: 10.1016/j.scs.2018.02.039.

3. The 8 most common types of cyberattacks explained. Contact, 2019. [Онлайн] https://www.contact.co.uk/blog/common-types-of-cyber-attacks-explained (дата обращения 29 декабря 2021 г.).

Чонхым Парк (jungheumpark@korea.ac.kr) –  доцент;  Хенджи Чанг (localchung@gmail.com) – научный сотрудник, Университет Коре; Джоанна Дефранко (jfd104@psu.edu) – доцент, Университет Штата Пенсильвания.

Jungheum Park, Hyunji Chung, Korea University, Joanna F. DeFranco, Multilayered Diagnostics for Smart Cities. IEEE Computer, February 2022, IEEE Computer Society. All rights reserved. Reprinted with permission.