|
|||||||||||||||||||||||
Когда мы что-то проектируем и разрабатываем, необходимо понимать, как развивается наша надсистема, которая может нести как новые возможности, так и опасности. Модели угроз развиваются постоянно. Практически каждое технологическое новшество вместе с повышением потребительских характеристик какого-то продукта несет новые возможности и для злоумышленников. Нужно учиться прогнозировать подобные обстоятельства. Тем более, что существует подходящий инструментарий. Выработанная за долгие годы привычка жить в глобальном, стабильно развивающемся мире и сопутствующая этому инерция мышления зачастую вынуждают бизнес действовать инстинктивно. Например, стремиться взять прибыль здесь и сейчас с минимальными затратами, игнорируя целый ряд аспектов, в числе которых и вопросы безопасности. Это приводит к тому, что многие оказываются не готовыми к «черным лебедям». Разумеется, есть и исключения. И тем игрокам, которые своевременно и в нужном объеме уделяли внимание борьбе с потенциальными угрозами, а таких немало, достанутся все «плюшки» в новых условиях.
– Санкции влияют на многие направления ИТ-отрасли в России, и IoT здесь не исключение. Определенное замедление развития вызовут как сниженный объем импорта из привычных источников, так и переориентация логистических цепочек. Другое дело, что российский IoT развивался несколько иначе в последние годы, нежели в других странах. Его большую часть составляет рынок приборов учета энергоресурсов. Это не столь требовательная к новизне отрасль, и в ряде решений теоретически возможен полный отказ от компонентов из стран, которые ввели санкции. В том числе и за счет наращивания собственного производства компонентов. График рентабельности, конечно, просядет на время поиска замены и переработки решений, но затраты на преодоление этих трудностей будут с лихвой компенсированы новыми заказами. Особенно в тех отраслях, в которых участвует государство.
– Адаптировать свои критические отрасли таким образом, чтобы снижать зависимость от импорта с Запада. На первых этапах это будет смена поставщиков и переориентация логических цепочек. Параллельно с этим, возможно, нужно будет поднимать у себя недостающие производства и технологические процессы. Это огромная, наукоемкая и дорогостоящая работа и она планомерно ведется в нашей стране. При смене элементной базы разработчикам придется заново проходить цикл «разработка-тестирование-сертификация». Это особенно актуально для заказов, формируемых государством, где эта сертификация необходима. В сложившихся условиях регуляторы уже идут навстречу производителям, в плане ускорения и смягчения вышеописанной процедуры.
– Опыт других стран под санкциями показывает, что это может хорошо работать, не без трудностей, конечно.
– Что касается Компании «Актив», то зависимость от элементной базы, конечно же, присутствует и у нас. Однако отработкой запасных вариантов мы всегда занимались на постоянной основе. В силу того, что компоненты, такие, как, например, микроконтроллеры, массово доступны на рынке определенное время. Они могут устаревать, необоснованно дорожать, их производство вовсе может прекратиться. Им приходится искать достойную замену, пусть не так внезапно, как это произошло сейчас, но механизмы отработаны.
– В ряде областей этот эффект уже заметен. Это прежде всего умное ЖКХ и учет энергоресурсов. Сегодня об IoT нельзя говорить, как о каком-то принципиально новом стеке технологий. Большинство сфер существующей инфраструктуры, где IoT-решения применимы и могут дать экономический эффект, уже так или иначе покрыты. Сейчас вопрос стоит о повышении отдачи существующих решений и переработке концепции обеспечения их безопасности. К сожалению, IoT-технологии во многих аспектах развивались стихийно. Сначала появился этот термин, появились небольшие проекты, но крупному бизнесу интересно что-то большое, масштабируемое, поэтому в 2018-2019 годах крупнейшие IoT-решения были реализованы в российской сфере ЖКХ.
А все начиналось фактически со студенческих стартапов, где при разработке решений упор делался на эффективность выполнения их основной функции, а не на безопасность. И в условиях дефицита времени и средств, свойственных подавляющему большинству стартапов, это привело к тому, что обеспечению безопасности отводилась весьма скромная роль. Теперь данную ситуацию нужно исправлять. И это выйдет существенно дороже, чем если бы безопасностью занимались сразу.
– Потому что при создании информационных систем часто совершается одна ошибка. Люди не рассматривают нарушителя, как неотъемлемую часть системы: как оператора, например, или как исполнительный механизм. Продать основную функцию системы для разработчика легче, чем монетизировать безопасность. По крайней мере так было до недавнего времени, но времена меняются. Победят те, кто найдет разумный баланс между желанием заработать немедленно и возможностью оставаться в бизнесе длительное время, продавая качественные защищенные решения.
– Яркими примерами проектов федерального значения являются решения в области транспортной телематики. Многие из них наверняка вам известны. Также множество решений обкатываются в сфере производства, ТЭК и прочего.
То, что сегодня можно отнести к IoT-технологиям, а это достаточно большой спектр решений, в том или ином виде уже присутствует в большинстве проектов. IoT ради IoT уже отмирает. Пик хайпа пройден. Сегодня это привычные всем технологии, которые, в том числе, используются в проектах, так или иначе связанных с государством. И проще спросить, а какие проекты не включают IoT? И мы активно помогаем всем проектам быть безопаснее.
– Нормативная база постепенно формируется сразу несколькими регуляторами. Ожидаю, что эта работа получит общую координацию и управление, как обычно и бывает при развитии всех новых технологий. Тогда с учетом новых возможностей, которые возникли сейчас, это даст большой толчок к развитию отрасли IoT.
– Нормативная база пока находится на стадии формирования и работа эта продолжается. Есть целые отрасли, где следование текущим требованиям не происходит по разным причинам. СКУД – одна из таких. С одной стороны, это часть IoT, т.к. она обладает всеми формальными признаками подобных систем: наличием коммуникационной составляющей, удаленно управляемых механизмов. С другой стороны, де-факто это система персональных данных, поскольку выполняется однозначная идентификация личности и хранятся данные об индивидууме, в том числе и биометрические. ГОСТ 51241-2008, который описывает СКУД, можно доработать с учетом текущего уровня развития технологий. Но это вопрос отдельной статьи.
– В большинстве случаев все заканчивается финансовыми потерями, иногда – юридическими последствиями. Разгребать последствия атаки, попутно удовлетворяя судебные иски – не самое приятное занятие. Но и это полбеды. Допустим, вы решили все проблемы с безопасностью в плане несанкционированного доступа, проникновения, манипуляции и т.д. А ваша система базируется на технологиях, которыми вы не можете управлять, а кто-то может. Таких систем подавляющее большинство. И начиная с базовых протоколов, и заканчивая витальными для вашей системы сервисами, опасность отказа функционирования все равно остается на каком-либо из уровней.
Вспомним инциденты с VISA, Apple Pay – и это «цветочки». Если от факта функционирования вашей системы зависит функционирование надсистемы, то опасности подвергается вся надсистема. Теперь про этапы. Конечно, о безопасности нужно думать в момент разработки первичной концепции, лучше вообще на этапе Ideation. Помимо анализа зависимости от технологий, о которых я говорил чуть выше. Нужно четко осознавать, что злоумышленник является такой же неотъемлемой частью технической системы, как и ее основные механизмы. Концентрируясь только на главной функции, вы никогда не создадите безопасную систему, а многие разработчики продолжают так делать, подталкиваемые дефицитом ресурсов и прочими ограничениями.
– Мы с коллегами всегда видели, что эта сфера нуждается в защите, вариативность угроз здесь гораздо больше в силу относительной новизны и сочетания разных технологических направлений. И привычные методы защиты могут не покрыть всех потенциальных «дыр». Работы оказалось много, сейчас для нас открываются весьма широкие возможности, часть которых мы реализуем. Что касается разрабатываемых Компанией «Актив» проектов, то они относятся практически к любым отраслям и сферам, где требуется аутентификация устройств и пользователей, защита каналов связи, подпись передаваемых данных. Департамент, как самостоятельная единица, существует несколько месяцев, за которые удалось проработать множество концепций защиты самых разных систем. Сейчас есть несколько партнеров, с которыми мы ведем взаимодействие по вопросам реализации защиты. Текущая ситуация показала на конкретных примерах нашу правоту по многим вопросам и подстегнула интерес к нам не только производителей, но и государства. Так что без дела не сидим. Ключевые слова: Компания «Актив», IoT-система, угрозы, санкции, СКУД-система, защита, нормативная база, Рутокен Модуль. Подпишитесь на журнал
Вакансии на сайте Jooble
|
|
||||||||||||||||||||||
|
|||||||||||||||||||||||
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
На RIGF 2024 обсудили ключевые вопросы цифрового развития России 
_cover.jpg)
