Прошли наполненные событиями два года с тех пор, как ISOfocus впервые сообщил об Интернете вещей (в 2016 г.). Во-первых, был создан новый подкомитет, который полностью сосредоточился на разработке стандартов, таких как ISO/IEC 30141, для быстрорастущего сектора.
Во-вторых, несколько громких атак на Интернет вещей наглядно продемонстрировали, почему разработка таких стандартов необходима. Больше 20 лет назад британский технологический новатор Кевин Эштон (Kevin Ashton) придумал словосочетание «Интернет вещей», когда работал в Procter & Gamble. Эштон продемонстрировал в презентации, как компания может использовать радиочастотную идентификацию, или RFID, – беспроводную технологию, которая в настоящее время широко применяется в бесконтактных платежных и смарт-картах для отслеживания продуктов.
Официальное определение Интернета вещей, сформулированное ИСО и Международной электротехнической комиссией (IEC), – инфраструктура взаимосвязанных объектов, людей, систем и информационных ресурсов вместе с услугами, которые обрабатывают и реагируют на информацию из физического и виртуального миров. Но говоря простыми словами, Интернет вещей представляет сеть компьютеризированных и часто беспроводных устройств, которая позволяет нам, как и машинам, видеть, ощущать и даже контролировать большую часть окружающего нас мира как на индивидуальном уровне, так и в более глобальном масштабе.
Действительно, устройства и системы Интернета вещей все чаще находят свое применение в большинстве (если не во всех) аспектов современной жизни. Некоторые из них уже хорошо известны и широко используются на внутреннем и потребительском рынках, тем не менее крупнейшие пользователи Интернета вещей работают в промышленном, муниципальном и сельскохозяйственном секторах. Попросту говоря, любая технология с приставкой «умная», скорее всего будет частью быстро развивающейся серии Интернета вещей. Например, «умные» счетчики, «умные» автомобили, смарт-карты, «умные»-фитнес-трекеры, «умные» города, «умные» телефоны, «умные часы, «умное» коммунальное хозяйство, «умное» здравоохранение и даже «умное» производство заявляют о новой промышленной революции.
Сближая нас
В совокупности Интернет вещей повышает количество подключений к сети Интернет, уровень знаний, эффективность деятельности и снижает объемы затрат. Но неправильная работа в данной системе приведет к снижению уровня безопасности и сопротивляемости. Относительная простота устройств Интернета вещей создает столько же проблем, сколько и возможностей. «Существует много преимуществ, но в то же время наибольшими рисками являются устойчивость и безопасность», – отмечает Франсуа Колалье (Francois Coallier), председатель совместного технического комитета ИСО/МЭК СТК 1, Информационные технологии, подкомитет 41, Интернет вещей и смежные технологии. ИСО и МЭК сформировали СТК 1/ПК 41, чтобы сосредоточиться на стандартах Интернета вещей, в то время как СТК 1 отвечает за международную стандартизацию в области ИТ и уже опубликовал более трех тысяч стандартов с момента их формирования, с 1987 г.
Проблемы совместимости или способности устройств Интернета вещей взаимодействовать друг с другом и другими системами и безопасность данных взаимосвязаны. «Технологии развиваются быстрыми темпами, поэтому их внедрение в общую сеть происходит быстрыми темпами и часто по мере появления новых технологий». Для Интернета вещей характерен экспоненциальный рост с потенциалом до 50 миллиардов подключенных к 2020 году устройств, и рынком, предположительно, на триллионы долларов США.
Атака на систему освещения
2016 год, тот же год, когда был основан СТК 1/ПК 41, был переломным для Интернета вещей ввиду громких атак на сеть. В марте этого года так называемая атака “Mirai Botnet” парализовала большую часть Интернета в восточной части США, нанеся крупнейший удар по сети Интернет на сегодняшний день. Многие были удивлены тем, как быстро распространяется вредоносный код и как легко получить хакеру доступ к якобы безопасным сетям. Как же такое могло случиться? Это было самое слабое звено во всей цепи.
«Создатель ботнетов Mirai ориентирован на такие устройства, как беспроводные камеры видеонаблюдения и смарт-телевизоры, которые продаются с ограниченным количеством имен администраторов и паролей по умолчанию», – объясняет Коалье. Производитель выпускает миллионы таких устройств. «Атакующий ботнет пробует каждую такую комбинацию имени администратора и пароль по очереди, пока атака не увенчается успехом, что позволяет ботнету взять контроль над устройством», – продолжает он. «Имея под своим контролем более ста тысяч таких устройств, злоумышленник мог генерировать интенсивные атаки типа «отказ в обслуживании», временно парализуя часть Интернета в США».
В ходе другой задокументированной атаки фабрика была саботирована в результате нападения на административные персональные компьютеры. «В данном случае сложилось впечатление, что с данных ПК можно было получить доступ к промышленным производственным системам, – добавляет Коалье. – Данная ситуация не произошла бы, если бы промышленные производственные системы были изолированы от ПК, подключенных к Интернету посредством соответствующей фрагментации сети. Что еще более важно – сеть могла быть намного более безопасной с внедрением документированных процессов и процедур, уже описанных во многих стандартах, таких как серия ISO/IEC 27033 по информационной безопасности, которая содержит характеристики дополнительной безопасности».
В том же году, что и Mirai Botnet, группа израильских исследователей продемонстрировала возможность взлома систем освещения, используя модифицированные воздушные дроны и факты уязвимости в популярных умных лампочках. Обходя меры безопасности лишь в одной из ламп, они могли заражать соседние совместные лампы и затем контролировать их. Исследователи сообщили, что если в городе достаточно умных лампочек, использующих те же протоколы связи, то атака может заразить всю сеть ламп в течение нескольких минут. Несмотря на то, что это был экстремальный сценарий, в качестве демонстрационного упражнения он продемонстрировал потенциал для осуществления массивных атак в якобы защищенных сетях, упустив из виду уязвимые места.
Внедрение стандартов по Интернету вещей
В этом и заключается проблема с устройствами Интернета вещей, которая предполагает простоту в сочетании с непреднамеренной специальной реализацией, усугубляемой игнорированием безопасности. Многие такие устройства представляют собой упрощенные, маломощные мини-компьютеры с компактной операционной системой на основе широкодоступных операционных систем Linux, популярных у компьютерных хакеров. Это означает, что к устройствам Интернета вещей предъявляются другие требования, нежели к компьютерам, и поэтому, когда пользователи не применяют стандарты безопасности, данные факторы делают Интернет вещей мишенью для атак. «Интернет вещей является спорным вопросом. Система содержит возможности, но также нуждается в балансе с тщательной реализацией и привлечением внимания к вопросам безопасности», – отмечает Коллиер.
Именно в данной ситуации международные стандарты будут способствовать повышению работоспособности и устойчивости Интернета вещей. Каким образом этого можно достичь? Серия стандартов ISO/IEC 29192 содержит характеристики легкой криптографии, которая идеально подходит для маломощных простых устройств. В ситуации с лампочками израильские исследователи рекомендовали особую методику защиты данных, описанную в ISO/IEC 29192-5, которая включает три хэш-функции, подходящие для приложений, требующих легких криптографических реализаций. Но как и в любой развивающейся отрасли, нам также потребуются новые стандарты, в чем заключается роль СТК 1/ПК 41, чей сбалансированный охват обеспечит должный уровень безопасности.
На сегодняшний день подкомитетом СТК 1 было опубликовано 18 рабочих материалов, в основном сосредоточенных на сенсорных сетях, Включая технический отчет ISO/IEC TR 22417, Информационная технология, случаи использования Интернета вещей, который содержит информацию для пользователей Интернета вещей. Руководство содержит такие важные вопросы, как основные требования, совместимость и стандарты, применяемые пользователями. Приведенные примеры проясняют, в каком случае существующие стандарты играют определенную роль, и подчеркивают необходимость дальнейшей работы по стандартизации.
Формируя основу
Стандарты на Интернет вещей содержат общие принципы в отношении таких тем, как терминология, или справочная архитектура, которая поможет разработчикам продукта развивать совместную экосистему. ISO/IEC 30141 содержит основу для многих применяющихся стандартов, разработанных СТК 1/ПК 41. «Мы отметили необходимость в эталонной архитектуре, чтобы максимизировать выгоды и снижать риски», – объясняет Коалье, который является председателем подкомитета ИСО. Другим основополагающим стандартом является ISO/IEC 20924, Информационные технологии. Интернет вещей (IoT). Словарь. Г-н Коалье также добавляет: «Важно, чтобы те, кто работает с IoT, говорили на одном языке». ISO/IEC 20924 и ISO/IEC 30141 формируют единый язык.
Рабочую группу, занимавшуюся разработкой ISO/IEC 30141, возглавлял д-р Цзе Шен (Dr Jie Shen) из Китая при поддержке двух соредакторов, таких как Wei Wei (Вэй Вэй) из Германии и Остен Фронберг (Östen Frånberg) из Швеции. В совокупности руководители проектов обладают многолетним опытом работы в данной области деятельности, который был углублен 50 другими специалистами, внесшими непосредственный вклад в разработку стандарта. «Существует множество рисков и возможностей», – сообщает д-р Цзе Шен, добавляя, что нам необходимо разрабатывать идеальный механизм обслуживания для преодоления существующих рисков, что представляет детализацию».
Большая часть деталей уже содержится во многих стандартах, опубликованных подкомитетами СТК 1, а ISO/IEC 30141 содержит ссылки, чтобы объединить их все с несколькими новыми стандартами, разрабатывающимися СТК 1/ПК 41. «ISO/IEC 30141 содержит общую основу для дизайнеров и разработчиков Интернета вещей, – объясняет Коалье. Стандарт содержит характеристики Интернета вещей наряду с концептуальной моделью и эталонной архитектурой», – добавляет он. Описания сопровождаются многочисленными примерами.
Цепочка из шести доменов
ISO/IEC 30141 также включает в себя новую структуру, известную как модель с шестью доменами для эталонной архитектуры Интернета вещей. Данный инструмент представляет основу для системных проектировщиков и интеграции множества устройств и операций по Интернету вещей. Проектная группа обнаружила, что традиционные подходы не подходят для простых сетей. Д-р Цзе Шен поясняет: «Сложнее сформировать экосистему Интернета вещей, чтобы соединить множество разнородных объектов, таких как пользователи, физические объекты, устройства, сервисные платформы и приложения, базы данных, любые сторонние программы и другие ресурсы. Мы обнаружили, что традиционной многоуровневой эталонной модели, применяемой в информационных системах, было недостаточно. С другой стороны, модель с шестью доменами может помочь в формировании экосистемы Интернета вещей и новой бизнес-модели. Сама модель будет еще более эффективной, когда будет основана на технологии блокчейн, –высокозащищенном методе, все чаще используемом в финансовых операциях».
«Стандарт содержит характеристики функциональной совместимости, или взаимодействия разных устройств, а также концепцию надежности Интернета вещей. Уже существует много опубликованных стандартов устойчивости, безопасности и защиты, в то время как ISO/IEC 30141 формирует эталонную архитектуру для их применения», – сообщает Коалье. В то же время, по мере того как Интернет вещей развивается, СТК 1/ПК 41 занимается разработкой еще девяти стандартов на Интернет вещей, которые обеспечат повышение уровня надежности, совместимости, безопасности и технических характеристик.
