Статті та публікації

1. Вступ
2. Трохи про поширеність Інтернету речей
3. Технології, що використовуються в Інтернеті речей
4. Еталонна модель Інтернету речей
5. Формування моделі загроз
6. висновки
7. висновок

"Захист інформації. Інсайд", № 4, липень-серпень, 2016
Стаття Олексія Сабанова, заступника генерального директора "Аладдін Р.Д."

Вступ

Інформатизація суспільства інтенсивно розвивається. До цього процесу причетні як телекомунікаційні компанії, так і представники бізнесу розробники, світові вендори, інтегратори.

Одним з бурхливо розвиваються напрямків інформатизації в останні роки є Інтернет речей (Internet of Things, IoT), до просування якого в даний час підключаються провідні мобільні оператори. Почасти це пов'язано з тим, що в умовах конкуренції рентабельність продажу голосового трафіку вже вийшла на мінімум, а продажу надання Інтернету і значної частини мобільних послуг (наприклад, телебачення) близька до цього. Зовсім скоро очікується бум послуг класу "розумний праска", "розумний холодильник", "розумна дача", "розумний будинок" і т. П.

Загальновизнаного визначення IоТ поки не вироблено. У широкому сенсі Інтернет речей розглядається як можливість об'єктів і людей дистанційно взаємодіяти через Інтернет в будь-якому місці і в будь-який час завдяки конвергенції різних технологій; в той же час розвиток IоТ як концепції еволюції людства може мати технологічні та соціальні наслідки [1]. Розгортання протоколу IPv6 стало одним з вирішальних умов втілення IоТ в життя.

В даний час існує можливість ідентифікувати обладнання, предмети побуту та віртуальні об'єкти (такі, як цифрові фотографії) таким же чином, як і окремих користувачів в Інтернеті людей. Таким чином, речі можуть бути інтегровані в широку мережу взаємозв'язків, в якій вони в будь-який! час виявляться здатними взаємодіяти один з одним або з людьми. По суті, речі в світі Інтернету речей знаходяться тепер на одному рівні з людьми [2].

Багато технологій, що розвиваються в останні роки, мають на увазі найтісніший зв'язок з технологіями безпеки. Завдяки використанню сучасних можливостей ідентифікації, збору, обробки і передачі даних, в IоТ забезпечується найбільш ефективне використання речей для надання послуг для всіх типів додатків при одночасному виконанні вимог безпеки. В тому числі, в IоТ мається на увазі і недоторканність приватного життя [1]. Розглянемо Інтернет речей з точки зору інформаційної безпеки.

Трохи про поширеність Інтернету речей

Згідно об'ємному звіту [3], до теперішнього часу технології IоТ найбільш розвинені в фінансових сервісах, економічному розвитку, комерції, медицині (понад 140 відомих проектів), енергетиці, управлінні природними ресурсами, сільському господарстві. На побутовому рівні реалізовано безліч різних за рівнем автоматизації рішень типу "розумний будинок".

Дані і прогнози про потенційних обсягах Інтернету речей в світі наводяться в роботах [16]. Згідно [2], розвиток IоТ тісно пов'язане з інформатизацією суспільства. У більшості випадків зв'язок "пристрій - пристрій" відбувається в сегменті зв'язку "компанія - компанія" (В2В), а зв'язок "пристрій - людина" в сегменті зв'язку "компанія клієнт" (В2С).

МСЕ визначає Інтернет речей як "глобальну інфраструктуру для інформаційного суспільства, що забезпечує сучасні послуги шляхом приєднання (фізичного і віртуального) пристроїв на основі існуючих і розвиваються, функціонально сумісних інформаційно-комунікаційних технологій" [1]. Фундаментальне визначення МСЕ, опубліковане 4 серпня 2012 року, забезпечує практичне розуміння і основу для подальшого аналізу і дослідження Інтернету речей. Важливо відзначити, що, згідно з цим визначенням, такий являє собою не одну певну технологію, а концепцію спільного використання декількох технологічних рішень, що має на увазі "технічні і соціальні наслідки".

З прогнозів, опублікованих в багатьох джерелах, в тому числі [24], слід, що загальна кількість пристроїв, які підключені до Інтернету, до 2020 року досягне 50 млрд, це набагато перевищить число використовуваних персональних комп'ютерів і смартфонів [5]. На рис. 1 представлений прогноз по динаміці зростання кількості призначених для користувача електронних пристроїв з 2010 по 2020 роки з ілюстрацією пропорційного співвідношення по чотирьом категоріям (речі, таблетки / планшети, персональні комп'ютери, смартфони).

Рішення для захисту систем управління "розумних речей" на Заході вже активно стандартизируются. Наприклад, як зазначалося в роботі [7], на минулому в жовтні 2014 року в Мексиці черговому засіданні ПК27СТК 1 ISO / IEC експертами розглядалися пропозиції в цій галузі, зокрема, пропозиції від колег з МСЕ по стандартизації низькорівневих механізмів безпеки в продуктах, розроблених для Інтернету речей.

У 2014 році Урядом Російської Федерації затверджена концепція "Побудова та розвиток апаратно-програмного комплексу" Безпечне місто "". За матеріалами відкритих джерел можна перерахувати деякі реалізовані і плануються проекти, такі як "Розумний і безпечне місто", проект впровадження системи відеоспостереження в ЦПКіВ ім . Горького, проект "Розумне ЖКГ" і "Інтелектуальна транспортна система аналітична система управління рухом, керовані світлофорні об'єкти" в Казані, аналогічні проекти "система міського відео аблюденія "," Інтелектуальна транспортна система "(" Ситроникс КАСУ "спільно з Cisco)," WiFi в метро "в Москві, проекти" БІГ Кронштадт "міський центр моніторингу в сфері безпеки і" Безпечний інтелектуальний квартал Полюстрово 36 "в Санкт-Петербурзі, проекти "Розумний місто" (2014 рік) і "Розумне місто" в м Тольятті і ін. Особливе значення в системах IоТ, що розробляються за державним замовленням, має забезпечення безпеки рішень і атестації систем на відповідність вимогам регуляторів інформаційної безпеки. Наприклад, в системах "Платон", "ЕРАГЛОНАСС" існують свої вимоги до використовуваних компонентів і технологій і до способів їх використання при побудові систем. Згідно з нормативними актами, для кожної автоматизованої системи розробниками створювалася модель загроз і порушників, в якій комплексно враховувалися можливості потенційних порушників щодо несанкціонованого впливу на об'єкти відповідних систем, що призводить до нанесення шкоди власникам і користувачам систем. Тим часом проблема безпеки IоТ, зокрема, рішень в сегменті промисловості та медицині, в переважній більшості випадків не вирішується на основі такого підходу в силу того, що рішення створюються зарубіжними постачальниками. Останні не готові розвивати вітчизняний ринок і прагнуть продавати готові типові рішення, які можуть не відповідати вимогам законодавства Росії.

Технології, що використовуються в Інтернеті речей

Інтернет речей включає в себе безперервні обчислювальні процеси з використанням технологій:

• радіочастотної ідентифікації (Radio Frequency Identification, RFID);
• обробки великих масивів інформації, Big Data;
• межмашинного взаємодії (MachinetoMachine, М2М);
• кібер-фізичних систем (біологічних, фізичних і ін., операції яких інтегруються, контролюються і управляються комп'ютерним ядром);
• визначення місця розташування за допомогою ГЛОНАСС і GPS [8];
• надання широкосмугового зв'язку, в тому числі стандарту GSM;
• бездротових сенсорних мереж та інших сучасних технологій [9].

Якщо технологія RFID застосовується для ідентифікації об'єктів вже близько 40 років, а методи ідентифікації живих і неживих об'єктів також налічують десятиліття, то інші перераховані технології досить "молоді" і поки недостатньо схильні до регулювання.

У той же час реалізації концепції Інтернету речей відносяться до класу інформаційних систем, побудова значної частини яких повинно супроводжуватися застосуванням засобів захисту інформації, оскільки внесення змін в роботу систем і реалізація атак, наприклад, класу "людина посередині", часто може привести до катастрофічних наслідків. Крім того, для багатьох реалізацій концепції Інтернету речей потрібне забезпечення юридичної сили (ЮС) документів і повідомлень, що генеруються в процесі роботи інформаційної системи, оскільки підсумком взаємодії можуть виступати товарно-грошові відносини між господарюючими суб'єктами або ж наступати правові наслідки. Наприклад, вимога забезпечення ЮС міститься для записів основних параметрів бортових систем в проекті "ЕРАГЛОНАСС". Для забезпечення ЮС і не корректируемого записів бортових систем можуть застосовуватися такі сервіси безпеки, як сувора взаємна аутентифікація об'єктів, захист каналів, електронний підпис і шифрування [10].

Оскільки питання забезпечення ЮС стосовно до електронного документа поки не затверджені на офіційному рівні, то необхідність якнайшвидшого створення нормативно-правової бази і в частині надання ЮС електронним документам і повідомленнями також можуть з'явитися стримуючим фактором розвитку систем Інтернету речей. Для вдосконалення вітчизняної нормативної бази корисно розглянути наявні у інших держав напрацювання. Розглянемо зарубіжні нормативні акти, що регулюють розвиток систем, що реалізують концепцію IоТ.

Еталонна модель Інтернету речей

Стандарт [1] приділяє питанням інформаційної безпеки (ІБ) досить багато уваги. Пропонуються вимоги ІБ верхнього рівня до створюються системам в цілому, а також наводиться еталонна модель IоТ, в якій вимоги ІБ розписуються за рівнями. Як високорівневих вимог висувається необхідність об'єднання різних методів і засобів забезпечення ІБ, що відносяться до безлічі об'єктів і мереж користувачів. Оскільки кожен об'єкт в системах IоТ є учасником инфокоммуникационного взаємодії, необхідно застосування методів і засобів зниження загроз порушення конфіденційності, автентичності та цілісності як даних, так і послуг. Зокрема, вимогам безпеки повинні відповідати додатку, пов'язані зі здоров'ям людини і його персональними даними, послуги зв'язку, визначення місця розташування, накопичення, передачі та обробки даних.

У стандарті [1] представлена ​​четирёхуровневая еталонна модель (рівні пристрою, мережі, підтримки послуг і додатків, а також сам рівень додатків), в якій наводяться можливості забезпечення безпеки і управління (рис. 2). Розглянемо представлені в стандарті вимоги ІБ і доповнимо їх, виходячи з досвіду участі в ряді проектів.

Далі розглянемо представлені рівні знизу вгору докладніше з точки зору завдань забезпечення ІБ, які розбиваються на загальні і спеціальні завдання.

На рівні пристрою спільні завдання інформаційної безпеки зводяться до забезпечення достовірності ідентифікації пристроїв, а також до коректного вирішення завдань ААА аутентифікації, авторизації та адміністрування (управління доступом) об'єктів, а також завдань захисту конфіденційності та цілісності даних.

Рівень мережі. Оскільки для управління мережевими з'єднаннями з метою організації мереж потрібно рішення задач управління доступом і гарантованої доставки повідомлень, то, як мінімум, виникає необхідність вирішення завдань аутентифікації. Доповнимо цю вимогу необхідністю захисту каналу "сервер пристрій" від атак класу "людина посередині" (в даному випадку це, перш за все, зниження ризиків перехоплення управління і заміни IP-адреси пристрою на підставний). Крім того, потрібне забезпечення конфіденційності даних про використання мережевих з'єднань і захист цілісності і конфіденційності даних сигналізації, а також безпеку (конфіденційність, доступність і цілісність) самих даних системи IоТ при їх передачі (наприклад, від датчиків до сервера).

Рівень підтримки послуг і додатків. На цьому рівні проводиться інкапсуляція пакетів при їх передачі, тому повинні підтримуватися сервіси ідентифікації і аутентифікації, а також функції шифрування і захисту цілісності.

На рівні додатку необхідно забезпечувати як загальні вимоги до безпеки, так і спеціальні. До перших відносяться: коректне рішення задач ААА і для самих додатків, і для учасників обміну, захист конфіденційності і цілісності даних, використовуваних додатками, а також захист персональних даних. Оскільки на рівень додатків можуть бути спрямовані основні вектори атак, рішення даного рівня повинні бути комплексними і спрямованими на забезпечення цілісності, доступності, конфіденційності, причому на певному рівні довіри в залежності від рівня ризиків. На цьому рівні необхідно проводити регулярний аудит безпеки і використовувати додаткові засоби захисту інформації, наприклад засоби захисту від несанкціонованого доступу і антивірусне програмне забезпечення.

Спеціалізовані засоби забезпечення ІБ зазвичай тісно пов'язані з вимогами додатків, такими як некорректіруемих записів або забезпечення безпеки мобільних платежів. Прикладами спеціалізованих засобів є розглянуті вище сувора взаємна аутентифікація, захист каналу, застосування електронного підпису та шифрування.

Кожен учасник мереж IоТ взаємодіє з іншими, що призводить до серйозних загроз безпеки в частині загрози конфіденційності, автентичності, доступності та цілісності як даних, так і послуг.

Формування моделі загроз

Розглянута еталонна модель може використовуватися для формування моделі загроз і вибору засобів захисту. Модель загроз для кожної мережі IоТ може мати специфічні особливості, що вносять істотні корективи в еталонну модель. Наприклад, для мережі безпілотних літальних апаратів містяться в еталонної моделі задачі можуть бути доповнені урахуванням атак типу "людина посередині", які повинні враховувати не тільки захист каналу взаємодії "пристрій сервер" з серверної сторони (підміна сервера з метою перехоплення управління), але і підміну пристрою. Крім цього, на рівні пристрою необхідно враховувати можливі атаки на фізичному рівні (знищення БІЛА). Для медичних систем істотним доповненням еталонної моделі є необхідність шифрування і контролю цілісності одержуваних від пристроїв показань. Однак незважаючи на наявність своїх особливостей в кожній новостворюваної мережі IоТ, використання еталонної моделі в якості одного з базових елементів вирішення завдань забезпечення безпеки інформації в будь-якому випадку виявиться корисним.

висновки

Таким чином, запропоновані в [1] загальні вимоги ІБ і еталонна модель розглянуті, уточнені і доповнені. Представлені вимоги, безумовно, будуть уточнюватися і змінюватися з часом. В умовах відсутності стандартизованих рішень вони можуть використовуватися при проектуванні і реалізації IоТ-проектів. Модель загроз необхідно розробляти і коригувати для кожного проекту в залежності від використовуваних технологій і умов застосування IоТ.

Стандарти та вимоги з безпеки в розвитку IоТ потрібні для управління чотирма головними аспектами Інтернету речей: зв'язком, взаємодією, конфіденційністю і безпекою [11].

висновок

Як уже згадувалося вище, практично всі розглянуті технології IоТ, необхідне апаратне і програмне забезпечення, а також самі пристрої (перш за все, датчики) розроблені і реалізовані зарубіжними постачальниками. Сертифікованих (перевірених) коштів, придатних до використання в IоТ, в переважній більшості випадків не є. Нагадаємо, що сертифікація, як правило, проводиться на відповідність розробленим і затвердженим раніше вимогам. Отже, є необхідність створення системи регулювання новітніх технологій IоТ і періодичного оновлення системи нормативно-правової бази, як то кажуть, в ногу з часом. Для наочності на рис. 3 представлені етапи розвитку технологій в стилі Гартнера (Gartner). На відомий графік технологій (темно-синя лінія) накладено умовний графік розвитку ринку даної технології (світло-синя пунктирна лінія), який зазвичай відстає на кілька років. Нормативна база, як правило, запізнюється ще на кілька років. При цьому занадто пізню появу нормативної бази може уповільнити масову реалізацію нових технологічних рішень. Навпаки, рання поява нормативно-правової бази може прискорити впровадження нових технологій. Що робити, якщо нормативних актів немає? Розглянемо два варіанти.

Одним із способів вирішення завдання може виступати класична задача захисту інформації (незалежно від використовуваних технологій) із застосуванням так званих "накладених засобів", сертифікованих за вимогами регуляторів, які застосовні для Інтернету речей.

В умовах відсутності сертифікованих засобів і нестачі нормативно-правової бази на практиці в якості вимушеної заходи найбільш ефективним способом забезпечення безпеки є ризик-менеджмент, який в ряді випадків може дозволити звести ризики застосування нової технології до прийнятного рівня.

Хотілося б, щоб до задачі забезпечення І Б в системах класу IоТ підключалися не тільки розробники та проектувальники, а й фахівці регулюючих органів, тільки тоді в Російській Федерації почнуть з'являтися вчасно стандарти і необхідна нормативно-правова база для побудови сучасних вимірювані-безпечних рішень.

ЛІТЕРАТУРА

1. ITUT Y.2060 (06/2012) Overview of the Internet of things [Електронний pecypc. - Режим доступу: http: //www.itu.inl/itut/recommendations/ rec.aspx? Rec = Y.2060 /.
2. Louchez A. An overview of loT technologies [Електронний ресурс]. Режим доступу: htlps: //itunews.itu.int/ru/Note.aspx? Note = 4373 /.
3. Harmessing the Internet of Things for Global Development [Електронний ресурс]. Режим доступу: http://www.itu.int/net/pressoffice/press_releases/ 2016 / 02.aspx #. Vr7VU8] P3g.
4. Regulation and the Internet of Things. Global Symposium for Regulators. ITU News. 2015. № 4 IЕлектронний ресурс. Режим доступу: https: //itunews.itu.int'/rv/Note.aspx? Note = 6060 /.
5. Короткова T. Фонд розвитку інтернет ініціатив буде інвестувати в проекти в області "великих даних", носяться пристроїв і Інтернету речей [Електронний ресурс]. Режим доступу: http: //bigdata.cnews.ju/news/line/frii_budet_in vestirovat_proekty_v.
6. ITU press releases 19/01/2016 [Електронний ресурс]. Режим доступу: www.itu.int/net/pressoffice/press_releases/2016/pdf/ 02ru.pdf.
7. Golovanov V. В., Sabanov AG International standards of entities identification review І Elect rosvyaz. 2015. № 10. P. 3237.
8. Location matters Spatial standards for the Internet of Things. ITU News. 2013. № 9. Technology Watch [Електронний pecypcj. Режим доступу: https://itunews.itu.int/ru/Note.aspx?Note=4574/.
9. ITU Internet Reports (2005), The Internet of Things [Електронний ресурс]. Режим доступу: https: //www.itu. int / net / wsis / tunis /.../ stats / Thc Internetof Things2005.pdf.
10. Левенко О. І., Сабанов А. Г. Застосування електронного підпису на SIM-карті для забезпечення юридичної сили електронним документам в системах М2М з використанням супутникової системи ГЛОНАСС І Захист інформації. Інсайд. 2015. №4.С. 5255.
11. Стандарти Інтернету речей [Електронний ресурс]. Режим доступу: http://iot.ru/standartiinternetaveshey/.