Протоколы и системы передачи данных IoT

3. Безопасность IoT

Вопросы безопасности IoT следует рассмотреть отдельно, поскольку существует принципиальное различие относительно безопасности обычных сетей и систем обработки данных - и систем IoT.

Существуют три принципиальных соображения относительно управления безопасностью и конфиденциальностью для устройств IoT по сравнению с тем же для обычных устройств.

 

1.     Большая часть устройств IoT взаимодействует с физическим миром иным образом, чем обычные устройства IT. Потенциальная возможностью некоторых IoT-устройств вносить изменения в физические системы и тем влиять на физический мир должна быть распознана и отделена от привычных рассмотрений проблем безопасности и конфиденциальности.

2.     Многие устройства IoT не могут быть доступны, управляемы или иметь возможность мониторинга тем же образом, как доступны и управляемы обычные устройства IT. Это может привести к тому, что для многих IoT-устройств будет необходимо ручное правление, что потребует расширения знаний персонала и увеличение объема ПО для управления устройствами, что приведет к увеличению рисков вследствие удаленного доступа к устройствам производителей и третьих лиц.

3.     Доступность, эффективность и производительность возможностей для безопасности и конфиденциальности IoT-устройств иные, чем для обычных IT-устройств. Это означает, что организации должны будут внедрить и обеспечить дополнительный контроль, а также определить, как реагировать на на риск, когда обычный контроль не доступен.

Риски кибербезопасности и конфиденциальности для устройств IoT можно рассматривать с точки зрения трех основных задач по снижению риска:

1.     Обеспечить безопасность устройства. Это означает, что устройство не должно быть использовано для совершения атак в сети (в том числе DDoS), прослушивания сети или компрометации других устройсв в своем сегменте сети. Должно быть применимо ко всем устройствам.

2.     Обеспечить безопасность данных. Защита  конфиденциальность, целостость и/илидоступность данных, включая идентифицирующую информацмю, собираемую, передаваемую, обрабатываемую, созраняемую IoT-устройством. Применимо ко всем устройствам, кроме тех, которые не работают с данными.

3.     Обеспечить конфиденциальность физических лиц. Защита персональных данных, на которые влияет обработка PII (personally identifying information) помимо рисков, управляемых с помощью защиты устройств и данных. Это относится ко всем устройствам IoT, которые обрабатывают PII или которые прямо или косвенно касаются физических лиц.

Каждая цель основывается на предыдущей цели и не заменяет ее и не отменяет необходимость в ней.

Организация должна быть уверена, что существует решение проблемы кибербезопасности и конфиденциальности на протяжении всего жизненного цикла устройства IoT:

1.     Определите риски для устройства IoT, проблемы, которые могут привести к снижению кибербезопасности, и риски конфиденциальности для устройств IoT.

2. Отрегулируйте политики и процессы для достижения кибербезопасности и снижения рисков конфиденциальности в течение всего жизненного цикла устройства IoT.

3. Внедрите обновленные методы безопасности для устройств IoT в вашей организации.

Возможности устройств IoT

1.     Возможности преобразования (в том числе взаимодействие с физическим миром, обслуживаиие границы между физической и цифровой средой). Каждое устройство имеет по меньшей мере одну такую возможность.  Два типа возможности преобразования: sensing -возможность обеспечивать наблюдение над аспектом физического мира в форме измерения данных, и actuating – возможность изменения чего-либо в физическом мире. (Датчики и исполнительные устройства).

2.     Возможности интерфейса позволяют устройствам взаимодействовать между собой или с человеком. Типы возможностей интерфейса:

a.       Интерфейсы приложений (например, API)

b.     Человеко-машинный интерфейс

c.      Сетевой интерфейс

3.     Возможности поддержки обеспечивают функциональность, позволяющую поддерживать другие устройства, например, управление устройствами, возможности безопасности и конфиденциальности.