AI & IoT: Сложности IoT-рынка

Содержание

Предисловие
Введение
Что такое IoT?
Основные сложности IoT
В качестве заключения и несколько слов про Россию

Предисловие

Искусственный интеллект (AI) и Интернет вещей (IoT) – одни из самых быстрорастущих высокотехнологичных отраслей. Они тесно между собой связаны и плотно переплетены. Это достаточно сложная, но интересная тема, которой хочется посвятить несколько материалов.

Данный текст носит ознакомительный характер и призван дать представление об общей ситуации на рынке IoT. Уверен, что продвинутые пользователи в курсе рассказанных событий. Им я предлагаю дополнить материал своим видением или интересными историями в комментариях. Следующие статьи будут предметными и затронут конкретные проблемы.

Введение

Ещё в марте посчастливилось побывать на круглом столе, организованном ИД «Телеспутник» и посвященном безопасности подключенных устройств. Приглашенные эксперты дискутировали на заданную тему, и директор по стратегическим проектам и коммуникациям GS Group Андрей Безруков сказал интересную фразу, что сегодня никто из потребителей не только не предъявляет никаких требований к уровню безопасности «умных» вещей, но даже и не задумывается об этом.

Поймал себя на мысли, что это действительно так. Например, в Петербурге на кухне стоит чайник, который я могу включить, находясь за 700 километров от него, а недавно по квартире целый месяц самопроизвольно катался робот-пылесос, также подсоединенный к Wi-Fi, да ещё и оборудованный камерой. А мне даже в голову не пришло озадачиться, какими протоколами, стандартами или паролями защищены эти устройства, да и есть ли вообще какая-то защита.

Однако, прежде чем рассуждать о проблемах, предлагаю произвести рекогносцировку и поговорить о подключенных устройствах, или Интернете вещей, в целом.

Что такое IoT?

Идея Интернета вещей достаточно проста – это оборудование всех устройств доступом в Интернет. Цели могут быть разными: дистанционный доступ к управлению, сбор и передача внешних данных, отправка отчётов по внутренней работе устройства, обмен данными и взаимодействие с другими «умными» вещами.

Фото с сайта nextbigwhat.com

Здесь действует правило: всё, что может быть подключено к сети, будет подключено, поэтому, вероятно, в будущем абсолютно любой предмет будет уметь передавать какие-то данные.

Уже сейчас есть умные тостеры, кофемашины, чайники, холодильники, столовая посуда, верхняя одежда и нижнее белье. Есть даже «умный» ректальный термометр. Справедливости ради, к нему вопросов нет: вставил и смотришь на телефоне, какая температура. Смущает лишь, что производитель пишет, что термометр универсальный и его можно хоть в рот, хоть подмышку, хоть в целевое отверстие. В данном случае всё же чёткая специализация не повредила бы.

Помимо бытовых вещей, «умными» уже стали различные промышленные системы, датчики ставят в двигатели автомобилей и самолетов.

Собственно, идея подключения устройств к сети далеко не нова. Её обсуждали и в 80-е, и в 90-е годы прошлого века. Однако всё упиралось в отсутствие технологий. Существовало три главные проблемы.

Во-первых, нужны дешевые и энергоэффективные процессоры. Сегодня эта проблема во многом решена благодаря RFID-меткам. Самый простой вариант использования – это проездные карточки: приложили к терминалу, деньги списались, турникет открылся. Однако это пассивная метка, не требующая энергии. Есть и активные. Но если раньше такие RFID-метки применяли только для наиболее ценного оборудования, чтобы, например, отслеживать его местоположение, то уже сейчас цена снизилась настолько, что метки достаточно широко используются в грузоперевозках. А недавно была новость, как английские госпитали стали выдавать своим пациентам браслетики, отслеживающие местоположение и имеющие на борту информацию о пациенте и нужных ему лекарствах. Цена подключения постоянно снижается. Эксперты говорят, что в ближайшем будущем стоимость чипов с базовым функционалом снизится до 10 центов, то есть можно будет подключить к интернету всё что угодно.

Следующей проблемой было отсутствие быстрого и дешевого доступа в сеть. Уже с внедрением 4G ситуация стала резко выправляться. 5G, судя по открытой информации, обещающий работу до 1 000 000 подключенных устройств на квадратный километр, должен и вовсе решить проблему. А стандарт IPv6 поможет решить третий вопрос и обеспечить IP-адресами все «умные» устройства и датчики.

Широко известен прогноз Gartner, что к 2020 году в мире будет более 20 миллиардов подключенных устройств, или почти по 4 устройства на каждого человека.

Однако лучшей иллюстрацией к Интернету вещей я считаю инфографику, созданную libelium, компанией, которая делает решения для будущего «умного» мира.

Приятно, что это не фантазии, а уже реализованные проекты. Умные датчики мониторят состояние почвы в сельскохозяйственной сфере, способствуют предотвращению лесных пожаров, следят за износом конструкций (например, опор мостов), их даже встраивают в асфальт. Ещё одна интересная реализация – это спортивные зоны, оборудованные датчиками, умеющими на расстоянии следить за жизненными показателями спортсменов. Например, это может быть велодорожка, которая сообщит, что горе-спортсмен свалился с велосипеда и не шевелится.

Как можете заметить, я плавно подвожу вас к мысли, что человечество уже почти решило вопросы цены и технических сложностей и активно занимается внедрением подключенных устройств в промышленность и повседневную жизнь, вследствие чего города постепенно становятся «умными».

Основные сложности IoT

Однако, к сожалению, чувство эйфории омрачают вопросы стандартизации и безопасности, про которые стали задумываться недавно, потому что всё-таки сфера Интернета вещей находится на начальном этапе развития, поэтому и конкретные меры пока никто предпринимать не торопится.

Проблема безопасности достаточно актуальна, так как большинство устройств IoT не имеют встроенной защиты. У устройств банально нет операционной системы (ОС), которая бы поддерживала уже созданные инструменты безопасности, или не хватает памяти для их размещения.

Причина такого попустительства достаточно проста. Вставить в тот же чайник Bluetooth или Wi-Fi передатчик стоит копейки, а вот оборудование его ОС с элементами защиты значительно увеличит стоимость, поэтому большинство простых «умных» приборов всегда будут уязвимыми к хакерским атакам. Например, Евгений Касперский рассказывал про кофемашину, которая была оборудована функцией самостоятельного дозаказа кофе. Её оказалось просто взломать и подменить в настройках адрес сайта. После чего машина стала под видом дорогого кофе покупать на другом сайте дешёвый в похожей упаковке. Разумеется, владельцы не сразу заметили подмену.

Интересно, что логика по всему миру примерно одинаковая. На мартовском московском круглом столе от ИД «Телеспутник» прозвучала мысль, что производителей больше волнует не то, как обеспечить безопасность, а то, что и, главное, когда должно произойти, чтобы эта проблема стала острой. А неделю назад в Сан-Франциско Park Associates проводили схожую по тематике конференцию, на которой представитель компании Vivint Smart Home на вопрос о защите и безопасности заявил, что «это не та тема, которая волнует потребителей». Соответственно, зачем педалировать сюжет, лучше подождать жареного петуха из известной поговорки.

С точки зрения бизнеса такие вопросы прикидываются просто: какой максимальный материальный и имиджевый урон можно получить (А) и какова вероятность такого исхода и сколько стоит решить проблему (Б). И пока А < Б, никто ничего делать не будет. К тому же, если проблема для отрасли в целом массовая, то велик шанс, что подорвётся кто-нибудь другой.

На текущий момент разработчики больше увлечены внедрением нового функционала, а не вопросами защиты. Вследствие чего прирастают возможности, а уязвимости остаются незакрытыми.

Зачастую и сами пользователи относятся к вопросу попустительски. Хакерам достаточно запустить в сеть программу, которая будет проверять диапазоны IP-адресов, пробовать стандартные порты и пароли. Логин и пароль admin-admin для доступа к роутеру до сих пор остаются одними из самых популярных. Вольготно разместившись, вредоносная программа включает новые устройства, подключенные к роутеру, в свою сеть ботов. Обычно люди и не подозревают, что их тостер в свободное от основных обязанностей время держит в страхе половину местных провайдеров.

Раньше ботнеты использовались в большинстве случаев для масштабных DDOS атак, целью которых было вывести какой-нибудь сервис из строя. Например, можно вспомнить широко известный Reaper botnet или как в 2016 году сотни тысяч взломанных умных камер и цифровых видеорекордеров умудрились устроить атаку пиковой мощностью 1.1 ТБ в секунду. И если ещё два года назад такие цифры казались нереальными, то теперь это почти обычное дело. Однако сейчас у ботнетов появились новые варианты использования. Например, это майнинг криптовалют или другие требующие больших вычислительных ресурсов операции.

Ещё одна проблема заключается в том, что если вредоносная программа проникла и прописала себя где-то на задворках вашего роутера или умной камеры, то выявить её стандартными средствами невозможно.

Интересна реакция обычных людей. Многие и не против, если их взломанный умный телевизор будет заниматься противоправной деятельностью или майнить биткоины. Главное, чтоб это не сказывалось на основном функционале.

И даже если будет высказан протест, то рядовой пользователь вряд ли что-то может сделать, кроме как установить пароль посолиднее. Но эксперты говорят, что из-за отсутствия единых для отрасли стандартов существующие элементы защиты, такие как файрволлы или даже endpoint security системы, не могут обеспечить необходимый уровень безопасности.

В сети есть множество руководств по взлому тех же умных домов. Хорошо известна история, рассказанная журналистами Forbes, как ради эксперимента «взломали», использовав стандартные пароли, умный дом первого попавшегося человека, найденного в сети по запросу в Google «smart home». После чего позвонили ему и показали, что, находясь в другом городе, хакер может управлять светом, телевизором, автоматической дверью от гаража, подключаться к камерам.

Однако вряд ли драйвером процесса появления защиты станут обычные люди. Слишком мелкие и точечные удары совершают преступники. И если ваш умный телевизор или камера запишут вас в неглиже и выложат это в сеть, то, скорее всего, вам просто по инерции поставят лайк за храбрость и посоветуют подкачаться.

В наибольшей опасности находятся производственные и медицинские предприятия. На технологичных заводах используется множество датчиков, контролирующих процесс, получив контроль над которыми, можно устроить полноценный саботаж.

Например, в августе 2017 года кибератаке подвергся нефтеперерабатывающий завод в Саудовской Аравии. Злоумышленники нашли уязвимость в оборудовании от компании Schneider Electric. Оказалось, что целью атаки было не украсть данные или вывести предприятие из строя, а хотели именно взорвать завод. Расследование показало, что довести дело до конца помешал человеческий фактор. Хакеры допустили ошибку в коде.

Первая атака, в январе 2017 года, была более успешной. Тогда в National Industrialization Company, одной из немногих частных нефтеперерабатывающих компаний Саудовской Аравии, удалось разом дистанционно уничтожить всю информацию на всех компьютерах – и на заводе, и в офисе, который находится в 30 километрах от предприятия. Как я понял, попасть в сеть смогли через уязвимости в IoT. На всё про всё у хакеров ушло 15 минут.

А если вспомнить, что в то время проходили достаточно сложные переговоры ОПЕК по снижению уровня добычи нефти, то у кибератак появляются мотивы.

Ещё более сложная ситуация в сфере здравоохранения. Карл Вест, директор по IT-безопасности Intermountain Healthcare в Солт Лейк Сити, в интервью для сайта IoT Agenda привел интересный пример из практики. Многие умные девайсы поступают в больницу по разным каналам. И нередко случается такое, что подключенное устройство, помимо основных функций, умеет ещё создавать свою собственную изолированную сеть (обычно такая нужна для общения девайсов между собой), а IT-департамент даже не в курсе, что такое возможно. Получается, что некое устройство может находиться с развернутой сетью, к которой может подключиться тот, кто знает, где её искать. Некоторые IoT благодаря общению друг с другом могут самостоятельно подключаться к сети, даже если их для этого предварительно не настраивали. Такое может случиться, когда все устройства от одного вендора. Условно говоря, госпиталь заказал и подключил к своей сети 5 умных колонок, а потом дозаказал ещё 5, которые уже самостоятельно вошли в сеть, никого об этом не уведомив. Потенциально это достаточно серьезная брешь в системе безопасности.

У нас этот вопрос никак не регулируется, а в США, как я понял, вообще действует запрет на внесение модификаций в подключенные устройства для медицинских учреждений без повторного согласования с Минздравом. Получается ситуация, когда, даже зная про проблему, производитель не стремится её решать, потому что придется заново проходить все проверки и сертификации.

Широкую огласку в СМИ получил взлом Deutsche Telekom. Это крупнейшая в Европе и третья по величине в мире телекоммуникационная компания. Взлом провайдера привел к тому, что вирус подцепили 900 000 клиентов (1% от абонентской базы). На протяжении двух дней они не могли пользоваться интернетом. Deutsche Telekom предложил два варианта решения проблемы. Первый вариант – это перезагрузить роутер. Если это не помогло, то выключить его и больше не трогать. Как можете догадаться, когда компания даёт такие варианты, это означает, что она сама не понимает, что происходит и как всё исправить.

Несмотря на то, что многие фирмы в курсе последних новостей и понимают, какие могут быть последствия от использования IoT без продуманных систем защиты, никаких действий по-прежнему не предпринимается. Одно из исследований (2017 года) проливает свет, почему. Большинство респондентов ответили, что разработка систем безопасности для IoT – это дорогое и сложное дело, а у них на это нет ни бюджетов, ни соответствующих специалистов в IT-отделах.

Посмотрите на график ниже. Более чем у половины в организациях нет систем безопасности в IoT, а ещё у 20-30% есть какая-то стандартная, которую нельзя обновить.

В качестве заключения и несколько слов про Россию

Из предыдущей части можно сделать вывод, что основные проблемы отрасли заключаются в отсутствии единых стандартов, протоколов и систем защиты. Основная причина этого в том, что происходят единичные атаки, затрагивающие отдельные предприятия. Во многом, как понимаете, проблема завязана на стоимости решения. Несмотря на перманентное снижение цен на умные вещи, разработка систем безопасности — это значительные затраты (это же не только разработать, но и постоянно дорабатывать и поддерживать актуальность). Соответственно, нужно решить, кто за это будет платить. Условно говоря, переложить затраты на покупателей или снизить собственную прибыль.

Также остро стоит вопрос регулирования. Например, должен ли пользователь нести ответственность, если выяснится, что его умная кофемолка взломала Пентагон, пока он был на работе, или должен отвечать производитель? Обязан ли пользователь менять пароль со стандартного? А если поменял, но установил слишком простой? Или за всё должен отвечать производитель? А так ли виноват производитель? Ведь есть мысль, что провайдер должен обеспечивать защиту своих клиентов. Вопрос остаётся открытым, и никто не хочет быть крайним.

Россия находится в той же реальности, что и другие страны, но у нас есть свои национальные сложности. Например, по статистике, каждый из нас владеет примерно 60 различными электронными изделиями, только 1-2 из которых произведены в России. Происходит это потому, что в стране не развита собственная элементная база. И здесь получается замкнутый круг: производства элементной базы нет, потому что нет спроса на отечественную продукцию, а откуда взяться спросу, если нет производства?

Председатель экспертного совета АРПАТ (Ассоциации разработчиков и производителей аппаратуры телерадиовещания) на круглом столе высказал интересную мысль, что сейчас в стране идёт речь о развитии цифровой экономики, которая подразумевает покупку готовых технологий. А стране нужна экономика знаний, то есть нужны специалисты, которые могут строить сами, а не управлять готовым.

Вследствие чего сейчас Россия вынуждена пользоваться иностранными платформами, которые представляют собой «чёрный» ящик: непонятно, куда уходят данные и что с ними делают. Да, есть лицензионные соглашения, но проверить, как они выполняются, в России не могут. А так как уровень компьютерной грамотности у законотворцев хромает, то появляются такие решения, как закон Яровой, блокировка Телеграма и открытые угрозы и хамство в отношении платежных систем Visa и Mastercard, чтоб переносили свои серверы в Россию. Расчёт, что пусть платформой мы и не владеем, зато физически можем жесткий диск потрогать. Это успокаивает.

Однако здесь же возникает вопрос национальной безопасности. Можно ли на 100% доверять гаджету, собранному в Китае и работающему на американском софте? Вполне возможны аппаратные «закладки», когда в случае войны умные лампочки Phillips совершат диверсию и, отключившись, не дадут генералам в штабе нарисовать план действий.

В качестве решения проблемы видится создание элементной базы, обучение собственных специалистов, а также то, что для Интернета вещей необходимо создавать многопрофильные системы защиты. Пока же в России отсутствует даже определение безопасности для абонентского оборудования, не прописаны регламенты и требования.

Как видите, в регулировании IoT на текущий момент больше вопросов, чем ответов. И конкретных вариантов решения нет. Рассказывайте в комментариях, как решаете вопросы безопасности домашней утвари или систем на работе – заклеиваете камеры скотчем, сурово грозите пальцем умному телевизору, освещаете серверы святой водой и молитвой или просто не обращаете на эти пустяки внимания, так как вам нечего скрывать.

К содержанию >>>

Владимир Нимин ([email protected])

Опубликовано — 04 июня 2018 г.

Поделиться:

Мы в социальных сетях: