главе 5. Каждый из них опирается на поток данных с производственного объекта в ИТ-сеть предприятия и в итоге в облако. Сегодня идея отключить организацию от глобальной сети просто абсурдна – какой бы обнадеживающей она ни казалась.

Рисунок 9.1. Самозащита на основе рисков

В общем, от глобальной сети теперь никуда не уйдешь. Однако это не причина для паники. Не все угрозы одинаковы и не все объекты угроз обладают одинаковой важностью для вашей организации. Ваш ответ на различные типы угроз, направленные на различные объекты, должен быть взвешенным и пропорциональным (рис. 9.1). Для этого необходимо управление рисками.

Безопасность как еще одна задача управления рисками

Сегодня ведущие организации считают безопасность управляемым риском, который необходимо оценивать вместе с другими рисками бизнеса. Процесс управления рисками IoT-безопасности не отличается от процесса управления любыми другими рисками:

• Выявите вероятные угрозы.

• Оцените вероятность каждой угрозы и потенциальный ущерб.

• Определите и внедрите защитные меры, сообразные вероятности и потенциальному ущербу каждой из угроз.

Разные типы уязвимостей приводят к возникновению разных угроз, потенциально причиняющих различный ущерб предприятию. Угроза, которой под силу отключить заводской конвейер или остановить работу буровой платформы, гораздо серьезнее угрозы, которая может нарушить процесс учета материально-технических ресурсов. Оценивая потенциальные риски, вы можете принимать обоснованные решения о размере инвестиций в защитные механизмы. В этом отношении вложения в безопасность IoT ничем не отличаются от покупки различных типов страховок, необходимых организации. В обоих случаях инвестиции должны быть соизмеримы с вероятностью риска и потенциальной суммой потерь или ущерба.

Пока вы читаете эту книгу, компании годами успешно внедряют IoT под разными именами. Да, существуют серьезные риски, которые я подробно опишу чуть ниже, но отрасль активно разрабатывает защитные стратегии, а ее участники совместными усилиями определяют лучшие методы защиты, продукты и передовые практики, дающие возможность противостоять этим рискам. Не думайте, что вы не сможете защитить свою организацию. Вам это под силу – надо лишь начать с выявления рисков, их оценки и управления ими.

Однако важно понимать, что не существует волшебного снадобья для безопасности IoT. Размах и разнообразие IoT-решений не позволяют создать безотказную систему защиты. Технологии IoT постоянно меняются, а решения совершенствуются – и угрозы и векторы атаки изменяются вместе с ними. Вы имеете дело с активным противником, который постоянно пытается обхитрить вас и обойти вашу защиту. IoT не внедряется раз и навсегда, как и ваша IoT-защита. Как я уже сказал, управление рисками – продолжительный процесс. Оценку рисков надо повторять как минимум раз в год, а возможно и чаще – по мере изменения решений и появления новых угроз. Главное – разумно оценивать ситуацию, не забывать о рисках IoT и не бояться их.

Безопасность и сопутствующее ей управление рисками должны быть в приоритете у каждого, а не только у специалистов сферы ИТ и ОТ. Особенное внимание им должны уделять топ-менеджеры. Это ключевая задача для вас и вашей виртуальной команды IoT, ведь в рецепте успеха IoT из первой главы написано: «Поставьте безопасность в приоритет». Согласно исследованию, проведенному компанией ISACA на конференции RSA в 2016 году, 82 процента руководителей сегодня озабочены проблемами кибербезопасности[40]. Не знаю, о чем думают остальные 18 процентов, но этими проблемами давно пора заниматься всем.

Сначала я хотел привести несколько примеров провалов безопасности IoT, но вам и так знакомы эти истории: парнишка взламывает местную систему поездов и мешает движению или хакеры проникают в системы атомных электростанций или коммунального водоснабжения. Зачем знакомиться с другими примерами, если любой поставщик решений с радостью перечислит вам их, надеясь продать свой продукт для обеспечения безопасности IoT.

Я же хочу продать лишь одно решение безопасности: осознанную оценку и мониторинг рисков в сочетании с подходящим и пропорциональным ответом на угрозы безопасности, соответствующим уровню угрозы и потенциальной сумме ущерба. Определив свои потребности, вы сможете выбрать лучшее решение проблемы безопасности из тех, что предлагают поставщики, и сразу внедрить его в свою экосистему. Кроме того, стоит обратить внимание и на страхование кибербезопасности, которое уже начинают предлагать некоторые страховые компании. После этого останется лишь один последний, но важный шаг: привлечь к обеспечению безопасности руководителей вашей организации и заручиться их поддержкой, поскольку никто из них не захочет, чтобы его компания оказалась на первых полосах всех газет в качестве жертвы кибератаки.

Есть много причин для хакерских атак на ваше IoT-решение. Одни хакеры занимаются этим из любопытства, другие делают политические заявления, для третьих это целенаправленные военные акции или террористические акты. Однако я подозреваю, что в большинстве случаев хакеры ищут наживы, воруя данные или коммерческие тайны для получения рыночного преимущества, устранения вас как конкурента или подрыва вашей бизнес-стратегии. Кроме того, обиженный работник таким образом может попытаться вам отомстить. Причин много, и они столь же разнообразны, как сюжеты многочисленных детективных телесериалов. Проблемы безопасности изучаются годами, и один вывод предельно очевиден: большинство нарушений безопасности происходит при использовании известных уязвимостей, которые не были ликвидированы, несмотря на многочисленные предупреждения, а большинство злоумышленников может быть вам хорошо известно – это сотрудники, подрядчики или партнеры того или иного рода. В целом хакерские атаки нельзя назвать ни загадочными, ни оригинальными.

Также не стоит забывать, что обеспечение безопасности нельзя считать исключительно задачей ИТ и ОТ; это даже не технологическая проблема. Это забота топ-менеджеров. Внедряя IoT, ваша организация становится цифровым предприятием. Следовательно, вам нужны интегрированная, единая для всей компании стратегия безопасности и план управления рисками, который задействует всех сотрудников на всех уровнях. Безопасность должна стать важным аспектом должностных обязанностей каждого работника предприятия. Придавайте особое значение политикам, передовым практикам и инструментам обеспечения безопасности, включая их во всю свою деятельность. Обеспечьте обучение основам безопасности как внутри своей организации, так и в экосистеме партнеров по IoT (рис. 9.2) – пусть безопасность станет и их заботой.

Рисунок 9.2. Безопасность – ответственность каждого

Эффективная система безопасности IoT требует полной поддержки комплексного подхода, который объединяет безопасность данных с физической безопасностью высшего класса. Не считайте их изолированными сферами и не забывайте, что большинство кибератак осуществляется изнутри организации. Вот три аспекта физической безопасности, на которые стоит обратить внимание при разработке интегрированной стратегии безопасности:

• Продумайте решение ключевых проблем физической безопасности, включая проход неавторизованных лиц вслед за авторизованным персоналом сквозь оборудованные системой идентификации двери.

• Снабдите физические системы доступа, видеонаблюдения и т. п. цифровыми реквизитами пользователей и системой допуска для всего вашего штата, включая сотрудников, подрядчиков и поставщиков.

• Рассмотрите возможность внедрения биометрической и многоуровневой системы физического доступа.

Как и в случае с остальными аспектами IoT, не стоит заниматься безопасностью в одиночку. Найдите партнеров внутри и за пределами своей организации. Работайте с командой, собранной вашим директором

Добавить отзыв
ВСЕ ОТЗЫВЫ О КНИГЕ В ИЗБРАННОЕ

0

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Отметить Добавить цитату