Пользовательский интернет вещей: проблема защиты данных
С.В. Рындина, С.В. Куликова, К.Д. Михайлова
Аннотация
Предмет и цель работы. Рассмотрены основные угрозы пользовательского Интернета вещей для компрометации и злоупотребления пользовательскими данными. Методы. Проведена классификация угроз информационной безопасности пользователей, связанных с распространением технологий Интернета вещей. Результаты и выводы. Рассмотрены основные способы обеспечения безопасной эксплуатации пользовательских решений для Интернета вещей со стороны пользователей. Развитие технологий Интернета вещей и отставание регулирования этой отрасли как законодательного, так и технологического предъявляет ко всем участникам, в том числе и к конечным пользователям, повышенные требования к осознанному использованию умных устройств, к соблюдению цифровой гигиены и самостоятельному принятию мер для обеспечения безопасной циркуляции пользовательских данных.
Ключевые слова: Интернет вещей, пользовательские данные, информационная безопасность.
Abstract
CUSTOM INTERNET OF THINGS: THE PROBLEM OF DATA PROTECTION
N. V. Ryndina, S. V. Kulikova, K. D. Mikhailova
Subject and goals. The main threats of the user Internet of things for compromising and abusing user data are considered. Methods. The classification of threats to information security of users associated with the spread of Internet of things technologies is carried out. Results. The article describes the main ways to ensure the safe operation of user solutions for the Internet of things by users. Results and conclusions. The development of Internet of things technologies and the lagging regulation of this industry, both legislative and technological, places increased demands on all participants, including end users, to consciously use smart devices, to comply with digital hygiene and to take independent measures to ensure the safe circulation of user data.
Keywords: Internet of things, user data, information security.
Введение
Интернет вещей имеет большой потенциал встраивания в повседневную жизнь людей, так как его технологические решения приспособлены для разнообразных задач: упрощение бытовых процессов, управление устройствами вне дома, мониторинг и контроль над физиологическими процессами, в том числе по медицинским показаниям, оповещение о возможных неблагоприятных событиях, угрозах, авариях и т.д. Пользовательский Интернет вещей позволяет охватить самые различные области и сферы жизни. Однако использование технологий Интернета вещей связано с потенциальными угрозами для пользовательских данных: компрометацией данных пользователя, злоупотреблением данными в коммерческих целях различными компаниями, обусловленное отставанием законодательной базы от развития технологий, мошенничествами и противоправными действиями с пользовательскими данными.
Инструменты защиты от различных видов угроз в отношении пользовательских данных совершенствуются по мере развития технологий Интернета вещей и выявления все новых вариантов использования пользовательских данных с неблагоприятными для источников этих данных последствиями. Однако есть препятствия, существенно усложняющие противостояние угрозам Интернета вещей.
Во-первых, это низкая цифровая грамотность пользователей: их беспечность в предоставлении доступа к данным, в бездумной и бесконтрольной выдаче разрешений на использование данных неопределенному кругу лиц, неосведомленность о потенциальных угрозах и инструментах их ослабления или ликвидации, например, смене заводских паролей устройств или своевременном обновлении программных оболочек и приложений. Также пользователи зачастую не подозревают о сетевой активности ряда домашних устройств, подключенных к сети. Всплеск возмущения пользователей обычно связан с платными подписками, которые внезапно обнаруживаются на устройствах, никак не предназначенных для потребления подобного контента. Но проблема бытовых устройств в сети гораздо шире, зачастую они подключены не только к провайдеру конечной услуги, но и к другим сервисам, например, обработка голосовых сообщений, получение автоматических обновлений, сбор пользовательских данных для рекламных компаний в интересах поставщика услуги и т.п.
Во-вторых, это недостаточное внимание производителей конечных устройств Интернета вещей и телекоммуникационного оборудования к потенциальным угрозам использования пользовательских данных и, как следствие, заметное отставание в развитии инструментов противодействия таким угрозам. Следование стандартам безопасности часто коммерчески невыгодно, требует дополнительных трат на тестирование, создание обновлений. Также для индустрии Интернета вещей характерно слабое развитие саморегулирования, норм и правил использования пользовательских данных, которые могли бы стать лучшей практикой.
Пользовательский Интернет вещей
Интернет вещей (IoT, Internet of Things) - это глобальная сеть компьютеров, датчиков (сенсоров) и исполнительных устройств (актуаторов), связывающихся между собой с использованием Интернет протокола IP (Internet Protocol) [1].
Согласно исследованию компании J'son &Partners Consulting, Интернет вещей от Интернета людей (традиционного Интернета, в котором за каждым подключенным устройством стоял человек, и большая часть информации создавалась для человека и при его участии) отличается [2]:
— смещением фокуса с человека на машины;
— значительным увеличением числа подключенных вещей;
— уменьшением размеров устройств и ростом скорости передачи данных;
— смещением фокуса с коммуникаций на сбор и обработку данных с различных устройств;
-- возникновением новых стандартов и новой инфраструктуры.
Подключенные вещи (Connected Things) - это всевозможные сенсоры, датчики (акустические, визуальные, температурные и т.п.), а также узлы передачи и обработки информации. Среди подключенных вещей можно выделить отдельный подкласс подключенных устройств, которые кроме уникальной идентификации в пространстве, часто реализуемой с помощью RFID-меток (Radio Frequency IDentification), т.е. меток радиочастотной идентификации, обладают также способностью захватывать данные из окружающей среды [3]. Для подключенных вещей реализуется концепция M2M - возможность контактировать между собой, обмениваясь данными, без вмешательства человека, что стимулирует развитие нового класса приложений с поддержкой устройств.
Роб Ван Краненбург рассматривает четыре уровня IoT [4]:
1. BAN (Body Area Network) - отдельные устройства, например, носимые устройства: фитнес-трекеры, умные часы, умная одежда, VR-очки и т.п., а также имплантируемые датчики и устройства, например инсулиновые помпы.
2. LAN (Local Area Network) - умный интерфейс, сеть вещей, обслуживающая потребности одного человека или небольшой группы лиц, например, устройства умного дома или умный автомобиль.
3. WAN (Wide Area Network) - умные сети: сеть электроснабжения, сеть ЖКХ, транспортная сеть и т.п., т.е. технологии, реализующие концепцию умного города.
4. VWAN (Very Wide Area Network) - сенсорная планета или сеть умных городов, взаимодействие всех элементов в которых происходит через электронное управление.
И де-факто и де-юре обладатели новой власти в мире, пронизанном технологиями и сервисами Интернета вещей, те, кто создает и контролирует инфраструктуру: обеспечивает связь между устройствами, безопасность и устойчивость ее функционирования.
Угрозы пользовательским данным
С увеличением числа присоединенных к сети устройств увеличиваются также и риски, которые связаны с незаконным доступом в IoT-систему и захватом данных этой системы злоумышленниками.
Технологии пользовательского Интернета вещей основаны на сборе и обработке пользовательских данных, которые делают программную начинку обычных устройств персонифицированной, а в некоторых случаях и действительно умной: умные колонки не просто распознают специально сконструированные фразы, а подстраиваются под речевые особенности своего владельца и готовы распознавать и анализировать обычную речь.
С одной стороны, устройству Интернета вещей часто необходим определенный объем пользовательских данных для выполнения своих функций: фитнес-трекер должен регистрировать физиологические данные пользователя и его активности, чтобы давать обратную связь о нагрузках и их переносимости организмом. Чем больше данных о пользователе, тем точнее отклик и полезнее устройство. С другой стороны, по мере проникновения Интернета вещей в повседневную жизнь и в связи с легкостью эксплуатации умных вещей степень наблюдаемости отдельных устройств резко снижается, их потенциальная опасность перестает восприниматься: пользователи редко читают инструкции и предупреждения, меняют заводские настройки, следят за обновлениями. Однако, если злоумышленник получит доступ к данным, то ему откроется возможность не только безучастно наблюдать, но и активно вмешаться в личную жизнь, что может послужить причиной различных негативных последствий, таких как APT-атаки (advanced persistent threat - развитая устойчивая угроза или целевая кибератака), шантаж или организация настоящего ограбления.
Еще больше угроз для пользователя содержит в себе LAN: система безопасности, система освещения, система обогрева с управлением по Интернету при взломе или нарушении их работы представляют собой опасность для имущества и жизни клиента. Например, если злоумышленник сможет взять управление над системой безопасности в умном доме, то ему станут доступны такие опции, как открытие или блокировка дверей.
Причины реализации угроз:
1. Стандартные учетные записи от производителя, слабая проверка и принятие введенной информации на сервере.
2. Отсутствие поддержки со стороны производителя с целью ликвидации недостатков.
3. Сложности при обновлении программного обеспечения и операционных систем.
4. Эксплуатация текстовых протоколов и лишних открытых портов.
5. Уязвимость одного устройства, которая приводит к угрозе для всей системы.
6. Эксплуатация незащищенных устройств.
7. Эксплуатация незащищенной облачной инфраструктуры.
8. Эксплуатация небезопасного программного обеспечения.
Вирусные аналитики из компании «Доктор Веб» с помощью ханипотов - ловушек, имитирующих различные устройства Интернета вещей и регистрирующих попытки их взлома и заражения вредоносным программным обеспечением (ПО), зафиксировали рост попыток взлома и заражения на 13 497 % с четвертого квартала 2016 г. по второй квартал 2019 г. [5]. Аналогичные исследования есть и от других компаний, занимающихся разработкой инструментов защиты от вредоносного ПО. Так, например, в «Лаборатории Касперского» зафиксировали с помощью ханипотов почти десятикратный рост попыток взлома устройств Интернета вещей в 2019 г. по сравнению с 2018 г. [6]. При этом увеличилось количество повторных атак с IP-адресов злоумышленников.
Классификация угроз
Пользовательские решения для Интернета вещей содержат в себе множество потенциальных угроз для пользователей (рис. 1):
1. Непреднамеренный и несанкционированный доступ к пользовательским данным:
— утечка личных данных (в том числе биометрических): сообщения, фотографии, видео-, аудиозаписи разговоров;
— утечка платежных реквизитов: данные для совершения онлайн- платежей, данные личных кабинетов в платных приложениях;
— кража аккаунтов и кража личности.
2. Использование пользовательских данных для совершения правонарушений и преступлений:
— шантаж и вымогательство на основе полученной информации в отношении пользователя или связанных с ним лиц;
— использование украденных аккаунтов и украденной личности для совершения противоправных действий в сети.
3. Перехват управления над устройствами Интернета вещей:
— доступ к камерам и микрофонам домашних устройств с целью слежения;
— заражение устройств вредоносным ПО для получения доступа к конфиденциальной информации;
— использование устройства для получения контроля над внутренней сетью, в которое оно включено;
— включение устройств пользователя в бот-сеть.
Рис. 1. Классификация угроз
Способы защиты от угроз
Научное сообщество активно предлагает технологические и законодательные решения для обеспечения безопасности данных, собираемых с помощью технологий IoT Не остаются в стороне и компании, активно использующие технологии Интернета вещей для разработки новых устройств, цифровых продуктов или сервисов, а также компании, эксплуатирующие эти разработки в своей деятельности.
Безопасность должна стать приоритетом развития пользовательского Интернета вещей. интернет компрометация пользовательский
Повысить уровень защищенности данных может обеспечить соблюдение пользователем следующего перечня рекомендаций:
1. Знакомство с инструкцией и политикой конфиденциальности (чтобы знать, какие данные устройство собирает, где они будут храниться, как будут использоваться).
2. Изменение стандартных настроек (прежде всего смена дефолтных паролей).
3. Регулярные обновления для всех устройств пользовательской части Интернета вещей, смена прошивки самих конечных устройств, маршрутизаторов, роутеров.
4. Соединение с сетью и связь между устройствами должны быть зашифрованы.
5. Отключение удаленного доступа.
6. Контроль центральных управляющих устройств: использование антивирусных программ.