СТА 3/2018

рии удобнее, конечно, указать в качестве виновника на производителя устройства, но в целом это неоднозначный вопрос. Например, в торговле или здравоохране- нии потеря данных в результате приме- нения технологий IoT может привести к последствиям для частных лиц, за кото- рые должны будут ответить продавцы, банки или медицинские учреждения. Производители датчиков как таковые, безусловно, несут большую ответствен- ность, особенно в случае разработки кри- тически важных устройств типа детекто- ров дыма, датчиков CO или систем авто- мобильных подушек безопасности. Но в производстве качественных продуктов крайне важно стратегическое партнёрст- во производителей «железа» и ПО для устройств IoT. В качестве примера при- ведём случай, озвученный сенатором США Эдвардом Марки, который пока- зал, что хакеры могут получить доступ к некоторым популярным автомобилям, управляя их внезапным ускорением, по- воротами, отключением тормозов, акти- вацией гудка, включением аварийного стоп-сигнала, перенастройкой спидо- метра, считыванием показаний датчи- ков. Таким образом, в мире IoT произво- дители ПО также не защищены от исков и должны понимать, что они несут от- ветственность за продукт, а также за воз- можные физические повреждения и имущественный ущерб, возникающие в результате его использования. Произво- дители подключаемых устройств финан- сово ответственны за небрежное про- ектирование кода ПО и архитектуры. Н ЕДОСТАТКИ CТАНДАРТИЗАЦИИ В традиционном мире IT существует огромное множество стандартов, и сего- дня их пытаются адаптировать для мира IoT. Это означает, что пока мы имеем очень уязвимую экосистему, состоящую из устройств и ПО различных произво- дителей, а также разрозненных сетевых сервисов. Чтобы добиться безопасности в этих условиях, мы должны выработать цельное решение для обеспечения иден- тификации устройств, их аутентифика- ции и защищённых коммуникаций меж- ду ними. Укажем на несколько практик, веду- щих к нарушению безопасности в IoT: ● недостаточные возможности защиты, встроенные в базовые системы, такие как система на кристалле (SoC), что даёт хакеру лёгкую возможность полу- чить права доступа администратора; ● передача незашифрованных данных позволяет любому злоумышленнику при помощи сетевого сниффинга пе- рехватывать информацию; ● использование устройств с незакры- тыми (без заплаток) уязвимостями в ПО – это приглашение для разного рода вирусов и червей, эксплуати- рующих ошибки в системах; ● Web-сервисы и ОС с жёсткой логи- кой организации доступа позволя- ют хакерам легче получать доступ к данным; ● неразумная политика в сфере ПО без надлежащего контроля целостности прикладного ПО и ОС в устройствах и шлюзах; ● незашифрованные API-токены и вызовы в текстовом виде также ослабляют защищённость коммуни- каций; ● низкая защищённость мобильных устройств в среде IoT усугубляет про- блему растущего числа открытых бес- проводных точек доступа; ● отсутствие должной аутентифика- ции – путь к потенциально опасному доступу для хакерских атак. ОБ ЗОР / Т Е Х НОЛОГ ИИ СТА 3/2018 9 www.cta.ru