Устаревшие IoT-устройства могут спровоцировать катастрофу

В домах по всему миру уже установлены миллиарды устройств, подключенных к Интернету вещей, от датчиков до детских игрушек. Но производители многих из них почти не задумывались о кибербезопасности. Это привело к утечкам личных данных, объединению устройств в бот-сети для организации DDoS-атак и их использованию в качестве входной точки для взлома более широких сетей. Хотя опасения о проведении разрушительных кибератак с помощью устройств IoT могут показаться преждевременными, следует помнить: технологии стремительно развиваются, а приборы, которые поступят в эксплуатацию в ближайшие годы, все еще будут работать через десять или двадцать лет без обновления систем безопасности.

Популярная всего десять лет назад Windows XP оказалась критически уязвимой из-за отсутствия обновлений и слабости дизайна с точки зрения безопасности. Точно так же десять лет назад производители смартфонов не думали, что их устройства будут использоваться преступниками для распространения вредоносного ПО или незаконного зарабатывания денег. Через пять лет устройства IoT может постичь та же судьба, причем последствия окажутся более серьезными: представьте себе кардиостимулятор, зараженный вымогателями. Это касается многих уже установленных устройств, которые рассчитаны на десятилетия эксплуатации.

Даже если поставщики IoT объединятся и разработают устройства, которые могут легко получать обновления программного обеспечения, будут ли пользователи использовать эту возможность? Люди не хотят устанавливать обновления даже на операционные системы, хотя это сравнительно просто, предпочитая оставлять их открытыми для кибератак. Если пользователи так небрежны по отношению к обновлениям своих ноутбуков и смартфонов, стоит ли от них ожидать усилий по обновлению каждого устройства IoT в доме — например, прибора для мониторинга труб?

Хуже того, они могут проявлять безразличие к тому, что их техника уязвима или уже включена в сеть ботов, если это не мешает им использовать устройство и не угрожает их дому. Чужие проблемы не волнуют пользователей. История ботнета Mirai, спровоцировавшего глобальную DDoS-атаку (среди пострадавших — Twitter, Netflix и PlayStation Network) показала реальность этого сценария.

Несмотря на масштабные последствия Mirai, они не стали настоящим призывом к пробуждению. А значит, масштабная кибератака с использованием Интернета вещей может произойти до того, как производители и пользователи начнут воспринимать всерьез безопасность IoT. Возможно, это будет атака с реальными физическими последствиями или эпизод кибервойны. Хакеры, обрушившие недавно электрическую сеть Украины, продемонстрировали, как использовать кибератаку для отключения инфраструктуры — и, возможно, устройства IoT в каждом доме предоставят противнику дополнительные ресурсы для кибервойны. Среди самых мрачных вариантов — атака, заставляющая загореться все электрические приборы в домах простых граждан, способная спровоцировать миллионы пожаров по всей стране, на тушение которых не хватит никаких ресурсов.

Именно поэтому производители, регуляторы и правительства должны объединиться, чтобы подумать о том, как создаются продукты IoT и как обеспечить их будущую безопасность. Правительства США и Европейского Союза пытаеюся регулировать Интернет вещей, но законотворчество может быть длительным и затянутым процессом. К тому времени, как закон вступит в силу, в мире уже будут десятки миллиардов устройств IoT, многие из которых окажутся уязвимы для злоумышленников. И хотя сегодня многие из угроз кажутся надуманным, киберкриминальная экосистема быстро развивается. Производителям IoT необходимо решить проблему как можно раньше.

Между тем, IoT продолжает распространяться, причем даже в странах, которые не отнесешь к лидерам в области высоких технологий. В России, например, устройства интернета вещей будут использоваться агрокомпаниями для защиты от краж и потерь зерна.