Время прочтения: 7 мин.

Интернет вещей (IoT) позволяет компаниям подключать через Wi-fi всё (офисные принтеры, производственные линии, личные вещи), что делает его идеальным инструментом, как для самих компаний, так и для их сотрудников Возможность установления и использования различных программ, приложений на смартфонах и планшетах, оценивается экспертами Cisco Systems и ИТ-аналитиками Juniper Research таким образом, что количество подключенных устройств через IoT достигнет к 2020 году в мире порядка 50 миллиардов. Согласно исследованиям Forrester, уже в этом году компании станут  лидерами по внедрению IoT, причем 85% крупных компаний уже внедряют или планируют использование  IoT.

По мере роста использования IoT увеличиваются и связанные с этим риски. Простые устройства полагаются на простую безопасность, но являются ли она эффективной?  Распространённая проблема – это  добавление сотрудниками компаний устройств в сеть, не проведя при этом предварительную проверку подключенных устройств  на соблюдение мер безопасности.

Тем самым, перед внутренним аудитом стоит задача  — гарантировать, что развертывание IoT проходит без рисков для компании. И эта задача чревата опасностью: технология все еще развивается, появляются новые риски, а меры контроля для предупреждения этих рисков часто не успевают за тем, что на самом деле происходит на рабочем месте.

Разработчики стандартов, такие как ISACA, отмечают отсутствие общепринятых  стандартов по обеспечению безопасности IoT, в т.ч программ для проведения аудита.

По данным отчета ISACA «Состояние кибербезопасности 2019», только одна треть респондентов уверена в способности своей команды отразить киберугрозы, в т.ч при  использовании IoT.  Эксперты показали, насколько легко  можно внедриться в офисные системы видеонаблюдения с поддержкой IoT и превратить их в инструмент шпионажа (получив доступ к паролям сотрудников и конфиденциальной информации на экранах компьютеров).

По мнению экспертов, атака типа «отказ в обслуживании» (DDoS) на устройствах IoT, является одним из примеров недостатка в области безопасности и управления устройствами IoT. В 2016 году атака Mirai на серверы Dyn временно приостановила  работу несколько крупных веб-сайтов и онлайн-сервисов, включая CNN, Netflix, Reddit и Twitter. При этом, перебои были вызваны DDoS-атакой, состоящей в основном из нескольких небольших IoT устройств, таких как телевизоры и игровые приставки, а не через компьютеры, зараженными вредоносными программами. Устройства имели общую уязвимость: у каждого из них было встроенное имя пользователя и пароль, которые можно было использовать для установки вредоносной программы и многократно использовать для других целей. Атака была самой мощной, включала в себя сотни тысяч «захваченных» таких устройств. «Как это часто бывает с новыми инновациями, технология IoT продвигается быстрее, чем механизмы защиты этих устройств от вредоносных атак и  внешних угроз», — считает Амит Синха, исполнительный вице-президент компании Cloud Security Zscaler.

Такие события, как атака Mirai, показывают, что гарантия безопасности на устройствах IoT являетсяприоритетной задачей для внутреннего аудита.

Среди основных проблем безопасности IoT, выделенных экспертами, — это слабые учетные записи, пароли, утрата устройств, а также неспособность удаления старых данных перед использованием нового или замененного устройства. Меры по устранению данных проблем просты, но они «обычно игнорируются», — считает Колин Роббинс, специалист по кибербезопасности Nexor.

Для начала, в целях минимизации риска взлома внутренние аудиторы должны проверить, что у компании есть гарантии того, что все пароли устройств IoT являются уникальными и не могут быть «сброшены» до универсального заводского значения. Компания должна регулярно обновлять программное обеспечение, а устройства, которые не могут быть обновлены,  должны быть уничтожены после удаления из них личных и рабочих данных.

«Менеджеры  компании должны определить, что IoT означает для бизнеса», — считает Дерал Хейланд, руководитель исследований IoT по кибербезопасности Rapid.  Следующий шаг — сосредоточиться на процессах вокруг безопасности и определиться с ключевыми вопросами: «Какие  IoT использует  компания? Кому принадлежат IoT? Как в компании отслеживают  исправления, атаки на эти устройства? Что необходимо для развития   IoT?»

«Безопасность IoT требует от компании заранее разработанных собственных стандартов безопасности», — считает  Meeuwisse. «Внедрение любого нового устройства IoT всегда должно сопровождаться  с   оценкой риска от его внедрения, чтобы понять, соответствует ли устройство требованиям безопасности, нуждается ли в более тщательном изучении или несет в себе потенциальный риск».

Компании должны быть уверены в обеспечении «технической гигиены» своей IT-системы, — считает Корбин Дель-Карло, директор внутреннего аудита в компании Discover Financial Services in Riverwoods.  К примеру, доступ к Wi-Fi должен быть закрыт, пользоваться  им могли только авторизованные пользователи. Также должна быть проведена  инвентаризация устройств,  подключенных к сети, для обеспечения контроля их использования. Для дополнительной безопасности следует ежедневно сканировать сеть для проведения  ежедневной проверки  на добавление в сеть новых устройств.

Внутренние аудиторы должны проверить, сможет ли компания справиться с увеличением количества устройств IoT. «Речь идет о миллионах дополнительных устройствах IoT, которые будут доступны через год или два. Сможет ли компания справиться с таким ростом спроса? Какие у вас есть гарантии того, что система не выйдет из строя?» — задает вопросДель-КарлоИ  рекомендует компаниям составить список производителей устройств, которые будут достаточно безопасными для их компании.  

Внутренние аудиторы должны информировать руководство о потенциальных проблемах конфиденциальности, которые могут возникать в приложениях, оснащенных GPS, камерами и диктофонами. «Отслеживание местонахождения сотрудников может быть полезным для водителей, занимающихся доставкой, но необходимо ли отслеживать сотрудников, работающих в офисе?» — задается вопросом  Дель Карло.

Примером является приложение IoT, которое отслеживает, сколько времени люди проводят на рабочем месте, и предлагает им сделать перерыв, если они находятся там слишком долго. Дель Карло отмечает, что компании могут использовать эту технологию для отслеживания отсутствия сотрудников  на рабочих местах.

Несмотря на то, что безопасность использования IoT является приоритетом для компании,  Роббинс  считает, что руководство компании должно определиться с  целесообразностью внедрения IoT, а также с тем, что будет  считаться успехом, либо неудачей при этом.

«Как и в любом другом проекте, особенно в сфере ИТ, менеджеры могут тратить деньги на то, чего они не понимают, просто потому, что считают, что им это нужно, или потому, что все остальные используют это», — считает Роббинс. Плохо реализованные решения IoT создают уязвимость для бизнеса. «Благодаря IoT риску подвергаются не данные, а бизнес-процессы, лежащие в основе компании», — отмечает он. По мнению Роббинса, успех IoT означает «почти слепую» зависимость от остальных «вещей», которые поддерживают эффективно работающую технологию.

Отсутствуют общепринятые алгоритмы согласования использования IoT с  потребностями бизнеса, тем неменеекомпании пытаются определить основные шаги в этом направлении. Например, в серии публикаций в блоге ISACA компаниям рекомендуется планировать проведение  аудита   при рассмотрении вопроса об инвестировании средств в IoTрешения. Рекомендуется рассмотреть, как устройства IoT будут использоваться в компании, какие бизнес-процессы будут поддерживаться, а также какую ценность от этого получит бизнес. ISACA предполагает, что внутренние аудиторы должны определить, оценила ли компания риски, а также ожидаемую ценность от инвестирования в  IoT-решения.

Эрик Ловелл, директор внутреннего аудита в PwC, считает, что внутренний аудит играет важную роль в оценке рисков при внедрении и использовании IoT, в том числе способствующих достижению стратегических целей компании. «Внутренние аудиторы должны оценить, как организация использует IoT, и имеет ли она четкое представление о том, как она может использовать  преимущества данной технологии», — считает Эрик Ловелл.

Какие показатели используются в компании для оценки успеха или неудачи от использования IoT? Соответствуют ли эти показатели лучшим практикам? Существуют ли метрики, которые позволили бы компании измерять прогресс  и вносить изменения в стадии проекта? «Не менее важно понимать, имеет ли компания сотрудников, обладающих необходимыми навыками, опытом и знаниями для проверки того, как технология выполняет поставленные цели и является ли она  безопасной», — отмечает Эрик Ловелл.

Внутренним аудиторам необходимо с самого начала присутствовать при планировании  в компании стратегии использования IoT. «Как и в любом другом проекте, внутренний аудит будет иметь меньшее влияния и вклада, если его функция присоединится к процессу после того, как проект  запланирован, определен и запущен», — считает Эрик Ловелл.  «Внутренние аудиторы должны оценить стратегию менеджеров, а также уровень их осведомленности о возможных рисках в данном процессе».

По мере развития технологии, меняются риски. «Бессмысленно думать, что риски, которые вы определили с технологиями IoT в начале процесса внедрения, останутся такими же через пару лет», — говорит Ловелл. «Внутренние аудиторы должны постоянно проверять, как используется IoT — и при каких обстоятельствах и кем — и оценивать, пригодна ли технология для цели, необходимой для удовлетворения потребностей бизнеса».

С оригиналом статьи можно ознакомиться по ссылке