Мой личный опыт и наблюдения в целом соотносятся с выводами IDC и Gartner. Однако безопасность IoT нельзя считать исключительно технологической проблемой. Само собой, вам необходимо инвестировать в инструменты для работы с конкретными вопросами безопасности. Но гораздо важнее привлекать к обеспечению безопасности всю организацию, начиная с топ-менеджмента, и настаивать, чтобы решения принимались на основании обоснованного управления рисками, политик безопасности и оценки угроз. Далее вы сможете определить, какие технологии безопасности и какие инструменты минимизации ущерба вам необходимы.
Передовые практики безопасности
Решения по безопасности IoT все еще развиваются. Однако на основании множества встреч с предпринимателями и экспертами я выявил набор практик, которые отлично работают сейчас и продолжат хорошо работать в будущем. С большинством из них вы уже знакомы из предыдущих глав, но давайте все же кратко их перечислим:
• С самого начала разрабатывайте и создавайте интегрированную (комплексную) стратегию безопасности на уровне всего предприятия. Не оставляйте обеспечение безопасности на потом. Механизмы безопасности должны быть изначально интегрированы в ваши IoT-процессы.
• Сразу склоняйте топ-менеджеров к оценке угроз и управлению рисками. Угрозы безопасности ставят на кон их карьеры и предприятия, так что добейтесь, чтобы обеспечение безопасности IoT стало для них одной из важнейших задач. Топ-менеджеры должны знать, как оценивать угрозы и управлять рисками, и заниматься этим в рамках своей работы. Просите их применить оба подхода к оценке рисков IoT. (Возможно, им понадобится помощь при изучении конкретных вопросов и оценке объема работ.)
• По возможности внедряйте отраслевые стандарты. Специализированные решения подорвут фундамент вашей стратегии безопасности. По необходимости обращайтесь за советом к комитетам по стандартизации и торговым ассоциациям.
• Обеспечивайте безопасность повсюду – от главного центра обработки данных, находящегося за корпоративным сетевым экраном или за его пределами, до всех конечных устройств. Это означает, что вам необходимо будет настаивать на активном участии ваших партнеров и входящих в экосистему поставщиков в вашей стратегии безопасности.
• Автоматизируйте и непрерывно мониторьте безопасность IoT. Чтобы успевать следить за всеми событиями, встраивайте в свои решения интеллектуальные возможности и предиктивную аналитику, особенно аналитику на базе туманных вычислений. Предупреждайте сотрудников о необходимости принять меры сразу после выявления проблем. Даже в небольшой организации IoT быстро сведет на нет все попытки справиться с анализом данных вручную.
• Сегментируйте IoT-трафик и обычный трафик ИТ-сетей и используйте мультиарендную сетевую инфраструктуру для изоляции проблем. Используйте сегментацию и другие знакомые процессы, но в то же время сотрудничайте с поставщиками ИТ-услуг, чтобы расширить набор их программного обеспечения и инструментов для работы с уязвимостями в сфере безопасности IoT. Не поддавайтесь соблазну внедрения специфических для IoT инструментов.
• Организуйте обучение практикам безопасности для всех сотрудников своей организации, а также для партнеров по экосистеме. Кроме того, регулярно обновляйте защиту IoT. В результате, как я уже говорил, безопасность должна стать приоритетом для каждого.
Я мог бы продолжать и дальше, но так мы зайдем в самые дебри безопасности. Чтобы найти больше информации о передовых практиках безопасности IoT, поговорите со своим директором по информационной безопасности или с представителями отраслевой ассоциации.
Проблемы безопасности IoT
Главная проблема управления рисками и оценки угроз заключается в ожидаемом огромном размахе IoT. На страницах этой книги мы уже говорили о миллиардах сетевых устройств. Само собой, многим не придется работать с таким их количеством, но не надо быть огромной организацией, чтобы иметь дело с миллионом устройств, учитывая устройства партнеров. Даже если вы располагаете всего лишь несколькими десятками тысяч сетевых устройств, их все равно слишком много, чтобы попытаться обеспечить безопасность без автоматизированных инструментов аналитики, настройки, мониторинга и т. п. Всего одна тысяча сетевых устройств может круглосуточно генерировать гигантские объемы данных и огромное количество предупреждений, тем самым перегружая все, кроме автоматизированных, интеллектуальных (основанных на правилах или политиках) масштабируемых инструментов и технологий.
Дополнительные проблемы создает большое разнообразие устройств, включая различные типы контроллеров, мониторов, счетчиков и других приборов. Многие из них могут принадлежать партнерам, так что ваше представление об их работе будет, скорее всего, ограничено – не говоря уже о том, что вам будет затруднительно понимать их данные и настраивать взаимодействие. Уверяю вас, даже если вы одержимы стремлением все контролировать, вы не сможете постоянно мониторить все устройства своей организации.
Решение этой проблемы довольно очевидно, но внедрить его непросто: вам необходимо организовать сотрудничество внутри экосистемы. Если ваша экосистема с самого начала формировалась с оглядкой на сотрудничество – как и должно быть, – логично будет внедрить в нее средства коммуникации и сотрудничества в сфере безопасности, основанные на общей архитектуре и политике.
Конфиденциальность
Сегодня уже все наслышаны об опасениях, связанных с конфиденциальностью клиентов. В мире B2B вопрос конфиденциальности в настоящий момент стоит не так остро, но игнорировать его ни в коем случае нельзя. Недавно я обсуждал эти вопросы на рынках B2B2C с несколькими специалистами по обработке данных. Одной из главных тем были проблемы уровней доступа и согласия на обработку информации – в частности, речь шла о том, как и какими данными делиться, как минимизировать ущерб от их утечки, как их рандомизировать и обезличивать, а также на каком уровне анализировать пользовательские данные, чтобы извлекать из них необходимые сведения, не жертвуя неприкосновенностью личной информации пользователя. В индустрии обсуждаются различные подходы к этим вопросам, включая техники вроде деидентификации и присвоения псевдонимов. В полной мере эти проблемы не будут решены и через много лет после публикации этой книги (если вообще будут решены хоть когда-нибудь), поэтому просто держите руку на пульсе.
В мире B2B главные проблемы конфиденциальности несколько отличаются. Они попадают в одну из следующих категорий:
• Данные сотрудников. Как правило, компании придерживаются следующего правила: вся информация, которую пользователи загружают на принадлежащие компании устройства или в инфраструктуру предприятия, находится под контролем организации. Сотрудники имеют право получать доступ к этим данным и/или осуществлять их мониторинг. Однако это предполагает, что сотрудники разрешают загрузку своих данных на устройства компании или сами загружают их в сети организации. Это сводит проблемы конфиденциальности к необходимости четкой коммуникации правил – сотрудники должны быть знакомы с политиками компании и их следствиями.
• Местоположение данных. Все чаще местоположение данных – физическое и географическое – становится проблемой не только потребительских компаний, но и компаний, работающих в сфере B2B, и даже правительственных организаций. Огромное внимание сегодня уделяется вопросам данных, которые пересекают национальные границы; ведутся споры, стоит ли применять к такой информации другие правила. Ваша архитектура безопасности должна быть достаточно гибкой, чтобы отвечать всем этим требованиям.
• Защита конфиденциальной информации сотрудников. Вы же не хотите, чтобы кто-то украл или раскрыл данные вашей кредитной карты или другую личную информацию.
