Удивительное дело. Большинство специалистов сходится во мнении, что до ИИ еще относительно далеко, что есть ряд важных нерешенных вопросов для его появления. Однако все активно готовы обсуждать, решать и даже писать петиции и обращения о том, что ИИ потенциально опасен и человечеству стоит сильно задуматься о своей безопасности, прежде чем решиться его «включить».
Такая обеспокоенность не может не радовать — это здорово, что о безопасности мы начинаем задумываться до того, как станет уже поздно. Однако, мы забываем про другой тренд, набирающий обороты — IoT и, в частности, робототехника, уже среди нас. Эти технологии пока не массовые, как смартфоны, но уже реальные, существующие, эксплуатируемые. Однако, что мы имеем на выходе — вопрос обеспечения безопасности в роботах, умных выключателях, видеокамерах и прочих новинках, проникающих в нашу жизнь, лежит исключительно на совести производителя. Нет ни регламентов, ни стандартов, ни минимальных требований защищенности таких устройств, постоянно «смотрящих» в интернет.
Хорошо, если пользователь знаком с информационной безопасностью, понимает, что нужно обновлять прошивки роутера, не использовать дефолтные пароли, использовать где это необходимо и возможно средства защиты от уязвимостей и вирусов. Но представьте себе соседа, который слабо себе представляет, какие угрозы может нести умный тройник, подключенный к его смартфону через роутер, которому настроили этот роутер год назад и он его не касался и в общем то не планирует — ведь работает, зачем что-то менять. Какие последствия может внести в вашу жизнь такое вот незащищенное устройство такого беспечного соседа, оказавшись в зоне внимания злоумышленника.
Абсолютной безопасности не существует, но по моему мнению, чем сложнее что-то сломать, тем обычно меньше находится желающих это сделать. Поэтому стремиться к этому нужно. В настоящее время я начал заниматься сбором best practices в части обеспечения безопасности подобного рода устройств.
Все текущие, известные мне стандарты ИБ можно разделить на общие стандарты, учитывающие специфику промышленных систем, в частности наличие в сети таких элементов, как промышленная система управления и разного рода датчики, и отраслевые стандарты, учитывающие особенности конкретной отрасли.
Все стандарты базируются на стандартах ISO/IEC серии 27000 (либо ISO/IEC 1799, если появились ранее 2007 г.) и используют базовые определения стандарта ISO/IEC 15408. Многие отраслевые стандарты основаны на общих стандартах ISA SP99 и NIST SP800-82. Особое внимание необходимо обратить на стандарт ISA/IEC 62443, который разрабатывается в целях создания стандарта нового поколения на базе ISA99. Однако все эти документы никак не учитывали особенностей IoT и IoR, а особенностей масса.
Поэтому буду рад, если в будущем появятся желающие принять участие в этой работе. Возможно в будущем инициативная группа примет участие в разработке стандарта безопасности в IoT и IoR, так как сейчас есть понимание как это должно происходить и уже есть люди с опытом, правда в части работы над стандартом по обеспечению безопасности автоматизированных банковских систем. Регулятор, отвечающий за направление, конечно другой, но принципы примерно понятны. В общем, надеюсь, что озвученные выше доводы в меньшей степени паранойа и в большей — здравый смысл и прогнозирование и надеюсь, что подобные мысли и желание что-то изменить к лучшему посещает не только меня.
Такая обеспокоенность не может не радовать — это здорово, что о безопасности мы начинаем задумываться до того, как станет уже поздно. Однако, мы забываем про другой тренд, набирающий обороты — IoT и, в частности, робототехника, уже среди нас. Эти технологии пока не массовые, как смартфоны, но уже реальные, существующие, эксплуатируемые. Однако, что мы имеем на выходе — вопрос обеспечения безопасности в роботах, умных выключателях, видеокамерах и прочих новинках, проникающих в нашу жизнь, лежит исключительно на совести производителя. Нет ни регламентов, ни стандартов, ни минимальных требований защищенности таких устройств, постоянно «смотрящих» в интернет.
Хорошо, если пользователь знаком с информационной безопасностью, понимает, что нужно обновлять прошивки роутера, не использовать дефолтные пароли, использовать где это необходимо и возможно средства защиты от уязвимостей и вирусов. Но представьте себе соседа, который слабо себе представляет, какие угрозы может нести умный тройник, подключенный к его смартфону через роутер, которому настроили этот роутер год назад и он его не касался и в общем то не планирует — ведь работает, зачем что-то менять. Какие последствия может внести в вашу жизнь такое вот незащищенное устройство такого беспечного соседа, оказавшись в зоне внимания злоумышленника.
Абсолютной безопасности не существует, но по моему мнению, чем сложнее что-то сломать, тем обычно меньше находится желающих это сделать. Поэтому стремиться к этому нужно. В настоящее время я начал заниматься сбором best practices в части обеспечения безопасности подобного рода устройств.
Все текущие, известные мне стандарты ИБ можно разделить на общие стандарты, учитывающие специфику промышленных систем, в частности наличие в сети таких элементов, как промышленная система управления и разного рода датчики, и отраслевые стандарты, учитывающие особенности конкретной отрасли.
Все стандарты базируются на стандартах ISO/IEC серии 27000 (либо ISO/IEC 1799, если появились ранее 2007 г.) и используют базовые определения стандарта ISO/IEC 15408. Многие отраслевые стандарты основаны на общих стандартах ISA SP99 и NIST SP800-82. Особое внимание необходимо обратить на стандарт ISA/IEC 62443, который разрабатывается в целях создания стандарта нового поколения на базе ISA99. Однако все эти документы никак не учитывали особенностей IoT и IoR, а особенностей масса.
Поэтому буду рад, если в будущем появятся желающие принять участие в этой работе. Возможно в будущем инициативная группа примет участие в разработке стандарта безопасности в IoT и IoR, так как сейчас есть понимание как это должно происходить и уже есть люди с опытом, правда в части работы над стандартом по обеспечению безопасности автоматизированных банковских систем. Регулятор, отвечающий за направление, конечно другой, но принципы примерно понятны. В общем, надеюсь, что озвученные выше доводы в меньшей степени паранойа и в большей — здравый смысл и прогнозирование и надеюсь, что подобные мысли и желание что-то изменить к лучшему посещает не только меня.
