IoT и биометрия: от кражи личности до сердечного приступа
Сфера информационной безопасности ставят перед человеком больше вопросов, чем дает ответов. Но успевают ли специалисты реагировать на быстрорастущее количество киберугроз, которые к тому же совершенствуются в своей изощренности благодаря машинному обучению?
К чему готовиться?
Компании готовы потратить любые деньги на защиту своих данных от кибератак в виду нашумевших скандалов, а также стремительно растущей диджитал-индустрии. Кибератаки становятся все более изобретательными, используя каждый раз более совершенные методы взлома. Специалисты выделяют условно три типа угроз: это угрозы доступности, угрозы целостности и угрозы конфиденциальности.
К первому типу относят непреднамеренные ошибки и отказы пользователей и систем, а также действующей инфраструктура. Ко второму типу - угрозы целостности, которые включают в себя все возможные кибератаки с целью кражи или изменения информации. Соответственно, третий - угроза конфиденциальности. Она подразумевает любую недостаточную защиту конфиденциальной информации, частной или корпоративной, с возможностью сделать ее общедоступной.
IoT как угроза
IoT-устройства на сегодня, к сожалению, не обладают достаточной защитой, что ставит в тупик поставщиков товаров и услуг. Тяжело отказаться от такого удобного и эффективного ноу-хау, но на арену выходят полу-профессиональные кибер-преступники, которые предлагают свои “услуги” корпорациям.
За 2017 год количество кибератак IoT-устройств выросло более, чем в 2 раза. Компании, которые с радостью кинулись в интернет вещей, столкнулись с очередной проблемой: очень трудно отслеживать, какие данные передаются внешним источникам. Таким образом, корпорации рискуют сразу по трем типам описанных выше угроз, теряя контроль над информацией, переданной поставщикам. Что касается пользователей, то здесь тоже мало приятного. “Умные” устройства ставят под удар все личные данные - от аккаунтов в соцсетях до паспортных данных и информации по кредиткам. У киберпреступников целый арсенал методов для получения личной информации: от вредоносных ПО и программ-вымогателей до программ, обеспечивающих кражу личности.
Фахад АЛРУВАИЛИ, профессор кибербезопасности из Саудовской Аравии, в своем эксклюзивном интервью для Bitnewstoday.ru рассказал: “Внедрение и применение технологий IoT в повседневной жизни ведёт к большим рискам нарушения конфиденциальности и идентификации персональных данных, позволяя управлять нашей бытовой деятельностью. Чтобы минимизировать риски, необходима мощная система контроля и встроенные элементы управления в любые IoT-устройства. Кроме того, для обеспечения дополнительного уровня безопасности и защиты необходимо разработать новую адаптивную защищенную IoT-инфраструктуру”.
Стивен ВЕЙСМАН, профессор колледжа университета Бентли, один из ведущих экспертов кибербезопасности США, также считает использование IoT-устройств опасным: злоумышленники могут получить доступ не только к этим гаджетам, но и к устройствам, которые с ними связаны и находятся в самом теле человека - например, кардиостимуляторы. В эксклюзивном интервью для Bitnewstoday.ru Стивен рассказал о своем видении проблемы: “Решение является многоплановым и необходимо позаботиться о создании встроенной системы безопасности на этапе разработки этих технологий, которая на сегодня осуществляется в недостаточной мере. А также просвещать потребителей о рисках и о том, как защитить себя с помощью надежных паролей и других мер безопасности, предоставлять постоянное обновление необходимого программного обеспечения и информировать потребителей о настройках конфиденциальности, которые им стоит использовать”.
Знание как защита
Фахад АЛРУВАИЛИ, исходя из профессионального опыта, считает, что люди - самое слабое звено во всей цепи кибербезопасности. Неосведомленность кадров порой является самой большой угрозой для безопасности компаний.
“Большинство кибератак используют сложные методы социальной инженерии для получения секретной информации с помощью фишинговых писем.
Другие угрозы варьируются в зависимости от поддержки высшего руководства до инициатив InfoSec, отсутствия адекватного контроля или нецелесообразного принятия мер по обнаружению и предотвращению нарушений, открытых и закрытых уязвимостей программного обеспечения, а также злоупотребления привилегиями со стороны внутренних нарушителей, а также отсутствия классификации данных”.
Как нас будут защищать
И теперь главный вопрос, который волнует все цифровое общество: какие технологии киберзащиты стоит развивать. Одним из передовых методов защиты данных признают технологию токенизации. А голосовая биометрия и система распознавания лиц уже давно стала обыденностью. Однако абсолютная надежность данной технологии, по мнению специалистов по кибербезопасности, наступит лишь с применением так называемых “закрытых данных” - сердечный импульс, рисунок кровеносных сосудов сетчатки глаза и частицы ДНК пользователя. Система биометрической аутентификации развивается в сторону внедрения индивидуальных считывающих устройств непосредственно в организм человека.
Но некоторые специалисты считают биометрические технологии слабым методом защиты: “На биометрию возлагали большие надежды, но технология себя совершенно не оправдала. Отпечатки пальцев можно копировать, можно сделать слепки лица, чтобы манипулировать системой распознавания лиц или даже использовать видео, чтобы обмануть шаблон, распознающий соответствие радужной оболочки. Ряд компаний, включая Google, используют искусственный интеллект, чтобы значительно повысить надежность распознавания лиц с помощью нейронных сетей” - утверждает Стивен ВЕЙСМАН.
Еще один уникальный метод киберзащиты, по его словам - технология движущейся цели. “Она становится все более популярной. Как видно из ее названия, суть заключается в том, что движущуюся цель труднее поразить. В этом случае такие действия, как фрагментация и шифрование данных, а также их перемещение по определенной инфраструктуре или изменение пароля и сетевого подключения, усложняют работу хакера. Одна из проблем заключается в том, что сама технология перемещения цели должна отслеживать постоянные изменения, вносимые через промежуточное программное обеспечение, которое может содержать новую точку уязвимости”.
Криптографическое шифрование
Данная технология делится на два типа - симметричный и ассиметричный. Первый тип позволяет зашифровывать и расшифровывать данные одним ключом, тогда как второй использует два ключа - один для кодирования, второй - для расшифровки.
Следующий уровень криптошифрования открывается в возможностях квантовой криптографии. Метод настолько уникален, что обещает почти абсолютную защиту зашифрованной информации. Ключ для кодирования и расшифровки генерируется фотоном, который движется с квантовой скоростью. При попытке взлома фотон меняет направление движения согласно законам квантовой физики, внося ошибки и искажая информацию. Звучит крайне футуристично, однако данная технология уже активно разрабатывается IBM, GAP-Optique, Mitsubishi, Toshiba, Национальной лабораторией в Лос-Аламосе, Калифорнийским технологическим институтом, а также холдингом QinetiQ, который поддерживает британское министерство обороны.
Стивен ВЕЙСМАН, о квантовой криптографии говорит следующее: “Квантовая криптография открывает большие возможности, но она, безусловно, не является панацеей, так как до сих пор находится на относительно ранних стадиях развития. Существует ряд проблем, включая частоту ошибок и трудности, связанные с производством одиночных фотонов, необходимых для квантового шифрования. Шифрование кванта также требует широкополосного волокна для всего соединения, которое все еще стоит под вопросом. Кроме того, есть некоторые исследования, такие как провел Джонатан Джогенфорс из Линчепингского университета, которые выявили возможности взлома квантовой криптографии. Квантовое шифрование интригует и может принести значительную пользу в будущем, но в этой сфере еще многое предстоит сделать”.
И, конечно, очевидным следующем уровнем в иерархии мер кибербезопасности служат системы, которыми управляет ИИ. О возможностях и угрозах в результате применения ИИ в кибербезопасности мы поговорим в следующей статье.