Развитие современных технологий привело к тому, что теперь обойти систему информационной безопасности компании можно с помощью едва ли не любого «умного» устройства в офисе – например, принтера, датчика движения или даже кофемашины, если они оснащены встроенным Wi-Fi-модулем. О том, что предпринимателю нужно знать об угрозах, связанных с «интернетом вещей», порталу Biz360.ru рассказал эксперт по кибербезопасности Анатолий Волков.
Анатолий Волков – основатель и управляющий партнёр IT-компании Soltecs, эксперт в области информационных технологий и информационной безопасности с более чем 20-летним опытом. Soltecs – системный интегратор полного цикла, который обеспечивает бизнесу управление IT-инфраструктурой, сервисную поддержку, решения по информационной безопасности, защите данных по стандартам ЦБ и предотвращению утечек (DLP).
Аббревиатура IoT расшифровывается как Internet of things – «интернет вещей». Речь здесь идёт о любых устройствах, которые могут подключаться к интернет-сети и обмениваться данными между собой или со внешними сервисами. В эту категорию попадают не только уже всем привычные умные колонки, роботы-пылесосы или холодильники с Wi-Fi. К IoT-устройствам также относятся разнообразные умные датчики, контроллеры, камеры, принтеры, системы освещения, реле, пропускные системы, промышленное оборудование и т.д.
По сути, IoT – это целая экосистема устройств, которые умеют собирать информацию, передавать её в облако и получать команды извне. Например, система может удалённо перекрыть воду, включить вентиляцию, передать сигнал о температуре на складе или автоматически заказать расходники. И именно в этом и заключается одновременно главное удобство умных устройств и их главный риск.
Проблема в том, что безопасность таких экосистем далеко не всегда идеальна. Производители, особенно в массовом и бюджетном сегментах, часто делают ставку на скорость вывода продукта на рынок, а не на глубокую проработку защиты. Где-то используются устаревшие компоненты, где-то остаются настройки «по умолчанию», а где-то уязвимость возникает уже на уровне облачного сервиса, через который работает устройство.
Ситуацию дополнительно усложняет развитие искусственного интеллекта. Методы поиска уязвимостей и автоматизации атак становятся быстрее и масштабнее. Если раньше злоумышленнику приходилось вручную искать слабые места, то теперь значительную часть этой работы могут выполнять автоматизированные инструменты.
Данные – важная тема в контексте офисных смарт-девайсов. Многие умные устройства постоянно собирают информацию о поведении пользователей и отправляют её в облачные сервисы производителя. И речь уже не только о персональных данных в привычном понимании.
Современные IoT-системы способны анализировать бытовые привычки человека буквально «до ложки супа»: что покупает пользователь, как часто, в какое время суток, какой у него уровень потребления. Для отдельного человека эти данные могут не представлять большой ценности. Но в агрегированном виде они превращаются в мощный маркетинговый инструмент.
Производители получают возможность строить детальные модели поведения аудитории: как потребляют разные социальные группы, люди с разным доходом, профессией или образом жизни. Формально такие массивы данных могут не содержать персональной информации, но фактически позволяют очень точно сегментировать пользователей.
Большую роль играет количество IoT-устройств: чем их больше подключено к сети, тем шире становится так называемая «поверхность атаки» – количество потенциальных точек входа для злоумышленников. Причём в первую очередь проблема касается не столько домашних гаджетов, сколько бизнеса.
На бытовом уровне последствия могут показаться скорее неприятными, чем критичными: условный «умный» холодильник перестал работать во время отпуска, система дала сбой, устройство зависло и перестало охлаждать продукты. Но в корпоративной среде может развернуться куда более серьёзный сценарий. Через плохо защищённое IoT-устройство можно получить доступ к внутренней сети компании.
Офисный принтер: врата в корпоративную сеть
Сегодня уязвимостью может оказаться что угодно – от камеры наблюдения до кофемашины. Один из известных кейсов – атака на корпоративную сеть предприятия через встроенный Wi-Fi в принтере. Формально устройство не считалось критичным элементом инфраструктуры, но именно оно стало точкой входа в систему.
Злоумышленники фактически использовали принтер как отдельную Wi-Fi-точку доступа. Да, у таких атак есть ограничения: нужно находиться относительно близко к устройству. Но в реальности этого часто бывает достаточно. В любом крупном бизнес-центре можно обнаружить десятки открытых или плохо защищённых сетей, связанных с офисной техникой.
Проблема в том, что многие компании либо забывают отключать беспроводные модули в устройствах, либо сознательно оставляют их активными «для удобства». В результате принтер, камера, система контроля доступа или даже кофемашина становятся потенциальной лазейкой в инфраструктуру компании. И здесь снова срабатывает главный фактор большинства инцидентов – человеческий.
Умные колонки = подслушивающие устройства
Отдельную тревогу у IT-специалистов вызывают умные колонки в офисах. Да, сотрудники иногда приносят их на работу «для личного комфорта». Формально это безобидный гаджет, но с точки зрения информационной безопасности – фактически постоянно активный микрофон в переговорной или кабинете.
Любой голосовой ассистент работает через внешнюю инфраструктуру производителя. Управление устройством, обработка команд, распознавание речи – всё это происходит не локально, а через облачные сервисы. Поэтому гарантировать, что устройство «ничего не слушает», невозможно. Даже если пользователь отключает микрофон кнопкой, это не равнозначно физическому отключению устройства от питания.
И получается, что, по сути, компании сами устанавливают в офисе инструменты потенциального аудиоконтроля. Особенно рискованно это выглядит в контексте переговоров, обсуждения контрактов, финансовых показателей или внутренней стратегии бизнеса.
Смартфон – карманный шпион
Проблема «подслушивания» не ограничивается колонками. Смартфоны сотрудников – тот же класс рисков, только гораздо масштабнее. Современный телефон – это набор датчиков, микрофонов, камер и сервисов, постоянно связанных с внешними платформами. Существенная часть популярных функций – от голосового ввода до «умного» автодополнения текста – работает через серверы технологических компаний.
Фактически пользователь обменивает часть приватности на удобство – для обычной жизни это стало нормой. Но для бизнеса, особенно работающего с чувствительной информацией, такая модель создаёт дополнительные угрозы.
Поэтому крупные компании всё чаще внедряют отдельную политику безопасности для мобильных устройств. В ряде случаев сотрудникам выдают специально настроенные смартфоны с ограниченным набором приложений, отдельными версиями операционных систем и жёсткими настройками доступа. Но даже такие меры не дают абсолютной защиты.
Эксперты по информационной безопасности знают, что самые сложные риски находятся не только в программной части смартфонов, но и на уровне «железа». А значит, полностью исключить вероятность скрытого сбора данных или удалённого доступа практически невозможно. Именно поэтому в компаниях, где обсуждаются действительно чувствительные вопросы – от финансовых сделок до технологических разработок, – правило «оставить телефон за дверью переговорной» до сих пор считается одной из самых надёжных мер защиты.
Камеры, которые не только наблюдают, но и транслируют
Компании недооценивают такой источник угроз для бизнеса, как системы видеонаблюдения. Особенно это характерно для небольших офисов. Часто камеры подключают по принципу «лишь бы работало»: через дешёвые облачные сервисы, нередко зарубежные, без серьёзной настройки безопасности.
А офисная камера – это не просто бытовой гаджет. Она становится частью корпоративной инфраструктуры и напрямую затрагивает вопросы физической безопасности компании. Через уязвимую систему видеонаблюдения злоумышленники могут не только получить доступ к внутренним помещениям и процессам, но и использовать устройство как точку входа в корпоративную сеть.
При этом многие массовые решения из бюджетного сегмента изначально проектируются с акцентом на удобство, а не на защиту. Пользователь получает быстрый доступ к камерам через облако, но одновременно открывает внешний канал связи с офисом. В интернете можно найти множество кейсов, которые демонстрируют, насколько плохо защищены подобные системы: камеры обнаруживались в открытом доступе, а подключиться к ним в ряде случаев можно было практически без усилий.
Безопасная интеграция видеонаблюдения требует совершенно другого подхода: изоляции устройств, настройки VPN-доступа, ограничения выхода в интернет и сегментации сети. Но для малого бизнеса это часто оказывается слишком сложным и дорогим процессом, поэтому компании выбирают простые «коробочные» решения – вместе с сопутствующими рисками. В итоге камера, которая должна повышать безопасность офиса, сама превращается в потенциальную уязвимость.
Умные датчики тоже могут стать уязвимостью
Сами по себе датчики – температуры, света, движения или влажности – обычно не представляют серьёзной угрозы. Как правило, это довольно простые устройства, которые лишь передают данные. Основной риск прячется на уровне контроллеров и платформ, через которые вся система управляется.
Именно контроллер собирает информацию с датчиков, обрабатывает её и взаимодействует с остальной инфраструктурой. И здесь возникает важный нюанс: многие беспроводные IoT-решения изначально проектировались с акцентом на удобство и энергоэффективность, а не на высокий уровень защиты.
Во многих случаях связь между датчиком и контроллером либо слабо защищена, либо данные вовсе передаются в открытом виде. Если злоумышленник находится в радиусе действия устройства, теоретически он может перехватывать сигналы или отправлять ложные команды. Для обычного офиса это чаще оборачивается сбоями (некорректной работой освещения или климатической системы), но на промышленных объектах последствия могут быть серьёзные.
Правда, у таких атак есть естественное ограничение – небольшой радиус действия. Большинство подобных устройств работают на коротких дистанциях, поэтому для вмешательства нужен физический доступ или близость к объекту.
Тем не менее специалисты по информационной безопасности уже учитывают такие сценарии в моделях угроз. Особенно когда речь идёт о предприятиях, где IoT-системы связаны с производственным оборудованием, инженерной инфраструктурой или системами управления зданием.
Не стоит отказываться от умных устройств вовсе – они действительно облегчают жизнь и ускоряют процессы. Важно внедрять их грамотно и чётко понимать, зачем они нужны в вашем офисе.
Не экономить на внедрении
Безопасная IoT-инфраструктура требует отдельной архитектуры: сегментации сети, настройки доступа, изоляции устройств и постоянного контроля. Для многих компаний это оказывается слишком сложно или дорого, поэтому всё подключается по принципу «как-то работает».
Специалисты по информационной безопасности рекомендуют разделять инфраструктуру на сегменты: отдельно – рабочие компьютеры, отдельно – IoT-устройства, отдельно – системы видеонаблюдения и управления сетью. Если одно устройство окажется скомпрометировано, это хотя бы не даст злоумышленникам мгновенный доступ ко всей корпоративной сети.
Внедрять экспертное обслуживание
Если в офисе используется несколько IoT-устройств, отдельный специалист обычно не нужен – с этим справится обычный системный администратор. А вот большое количество подключенных устройств требует уже отдельной экспертизы: такие системы нужно не просто установить, а интегрировать, настраивать, контролировать и защищать. Фактически речь идёт о новой части IT-инфраструктуры со своими рисками и логикой работы.
Причем IoT всё сильнее пересекается с классическими корпоративными системами – внутренними сервисами, документами, голосовыми помощниками и автоматизацией бизнес-процессов. Поэтому компаниям, которые делают ставку на цифровизацию офиса, всё чаще нужны специалисты с гибридной компетенцией – на стыке системного администрирования, сетевой архитектуры и кибербезопасности.
Грамотная политика закупки IoT-устройств начинается не с цены, а с оценки безопасности и функциональности. Для бизнеса принцип «подешевле и побыстрее» работает плохо: любое умное устройство – это маленький компьютер, который собирает и передаёт или принимает данные. Поэтому стоит обращать внимание не только на функции устройства, но и на то, как производитель описывает механизмы защиты: есть ли шифрование, как организован доступ, где хранятся данные и как обновляется система.
Важен и выбор подрядчиков. IoT-инфраструктуру недостаточно просто купить – её нужно грамотно интегрировать в корпоративную сеть, настроить ограничения доступа и проверить на уязвимости. Поэтому компаниям всё чаще приходится привлекать специалистов с опытом внедрения и отдельно проводить аудит уже готовой системы.
Безопасный «умный офис» строится в три этапа: тщательный выбор оборудования, профессиональное внедрение и независимая проверка того, насколько защищённой получилась инфраструктура. Но на этом работа не заканчивается. Как и любая IT-система, умный офис требует постоянного сопровождения. Регулярные обновления, мониторинг угроз и своевременная замена устаревших устройств – единственная гарантия того, что ваш умный офис останется современным, безопасным и эффективным спустя годы после запуска.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
