БОСТОН. Известные эксперты по безопасности Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) заявили, что Интернет вещей не может быть безопасным, однако риски поддаются контролю.

Вспоминая свой опыт с электронным взломом автомобиля, двое исследователей провели целое утро, размышляя над безопасностью Интернета вещей в целом, и признали, что в мире всегда будут тысячи подключенных устройств, безопасность которых невозможно гарантировать. Вследствие этого промышленность обязана уделять больше внимания безопасности и защите автомобилей и медицинского оборудования, чем, например, зубных щеток или дверных замков.

«Мы пишем код, но мы не совершенны. Проблема в том, что высокий уровень безопасности — это дорого. Нельзя бесконечно искать уязвимости. Необходимо продавать продукт и смириться с тем фактом, что вы не можете обеспечить полную безопасность», — говорит Миллер, который, как и Валасек, является ведущим архитектором автономных систем безопасности для автомобилей в компании Cruise Automation концерна GM. Эти высказывания были сделаны во время презентации на конференции Flight 2017, организованной компанией Black Duck Software.

По мнению исследователей, проблема заключается в том, что если охрана или обеспечение личной безопасности не являются основной задачей компании, то реализация мер защиты мирового уровня в ее продукции не может быть рентабельной. Изготовители устройств не могут продавать высокий уровень IT-безопасности как одну из особенностей продукта и не могут перекладывать соответствующие затраты на покупателя.

«Разработка защищенной зубной IoT-щетки с надежной платформой обойдется в миллионы долларов, как и ее последующая поддержка», — поясняет Валасек. Стоимость такой щетки для потребителя составит 400 долларов, и в конкурентной борьбе она уступит щетке с доступом в Интернет и «хорошей», согласно рекламе, безопасностью, за доллара.

«В отличие от продавцов автомобилей, которые убеждают вас потратить больше на воздушные подушки, компании, предлагающей программное обеспечение, не удастся уговорить покупателя платить больше за пакет безопасности, — говорит Миллер. — Разработчик не может заявить потенциальному клиенту, что если тот хочет для своего продукта пакет безопасности, это будет стоить на 1000 долларов больше».

Таким образом, проблема состоит в том, чтобы количественно оценить степень безопасности, которая необходима для продукта. Например, существует большая разница между незащищенным подключенным тостером и камерами видеонаблюдения, угнанными с целью проведения DDoS-атаки. Определение необходимого уровня защиты для продукта — сложная задача.

Напомнив о взломанных инсулиновых помпах, кардиостимуляторах и автомобилях, оба исследователя указали, что есть основания для неравномерного распределения внимания специалистов между различными задачами по обеспечению безопасности.

«Мы учимся на ошибках. Раньше мы плохо справлялись с защитой таких вещей, как серверы или браузеры. Сейчас мы делаем это лучше. И это замечательно, — говорит Миллер. — Люди хотят гарантированной безопасности. Однако это невозможно. Всегда будет шанс, что что-то взломают. Но можно сделать так, чтобы это было действительно трудно».

Исследователи отметили, что в будущем особые задачи будут связаны с автономными автомобилями. «Автономные автомобили — это новый уровень проблем с угонами», — отметил Миллер.

«Когда мы взламывали машины Jeep, мы позаботились о том, чтобы руль и педали тормоза возвращались в исходное положение, если взлом не удался, — поясняет Валасек. — Если взломщик лишит вас этих средств управления, катастрофа неминуема».

«В 2014 году было много шума из-за того, что наша шина CAN обеспечивала столь широкий доступ к функциям Jeep, а компания Sprint позволила нам добраться до мозгов автомобиля. Что же касается автономных автомобилей, они будут иметь внешний ввод», — добавляет Миллер. По мнению Миллера и Валасека, обеспечение безопасности должно иметь самый высокий приоритет при создании автономных автомобилей. Но для множества компаний, выпускающих подключаемые к Интернету устройства, безопасность не должна быть главной заботой.

«Если ваша компания опасается возможной атаки, то бояться следует не подключенных к Интернету лампочек. 145 миллионов человек пострадали от утечки персональных данных не из-за тостера Equifax», — говорит Валасек. Для противодействия взлому серверов и сетей прежде всего необходимы более традиционные средства защиты.

«Взлом IoT-устройств — обсуждаемая тема. Однако не следует отвлекаться на нее настолько, чтобы забыть о защите от реальных способов взлома ваших систем. Сфокусируйте свое внимание на настоящих атаках, — советует Миллер. — Не удивляйтесь, если зубные IoT-щетки будут взламываться во всем мире. Лучше сосредоточьтесь на действительно важных вещах».

Категории: Кибероборона, Уязвимости