Киберинциденты как главные бизнес-риски для умных зданий

Количество умных зданий постоянно увеличивается как в нашей стране, так и по всему миру, и с каждым годом они становятся все более интеллектуальными, все более комфортными для пользователей и экономичными для хозяйствующих субъектов. Однако прогресс неизбежно влечет за собой и негативные последствия.

Риски, вызванные кибератаками в интеллектуальных зданиях, растут с увеличением количества связанных компонентов автоматизации и безопасности зданий. Как было показано в [1], стандарт IEC62443 Кибербезопасность в системах автоматизации зданий позволяет построить модель угроз и средств снижения ущерба для конкретного здания. Эффективная защита возможна, если приняты постепенные и эффективные меры, описанные, в частности, в серии международных стандартов МЭК 62443 [2]. Судя по тенденциям роста Интернета вещей (IoT), в следующем десятилетии не останется ни одной области нашей жизни, которая не была бы затронута устройствами IoT. При этом связь как основа IoT должна быть простой и безопасной для пользователей, чтобы быть действительно востребованной.

Риски, вызванные кибератаками в интеллектуальных зданиях, растут с увеличением количества связанных компонентов автоматизации зданий и безопасности зданий.

Прогнозы по IoT в мировом масштабе

По данным Gartner, в 2020 г. количество подключенных объектов Интернета вещей вырастет до 40–80 млрд. Уже сегодня потребность в надежных интернет-соединениях превышает, по оценкам специалистов, миллиарды подключенных устройств. Мировой рынок IoT увеличится до 457 млрд долларов к 2020 г. (IDC). Это повлечет рост спроса на повсеместные подключения в ближайшие годы.

В 2020 г. на каждого человека будет приходиться как минимум четыре подключенных к Интернету устройства, в том числе к IoT (Futurism.com), и более половины новых бизнес-процессов и систем будут иметь некоторые элементы Интернета вещей. В этом же году свыше 65% предприятий задействуют продукты IoT (Gartner) [3].

Развитие систем безопасности приведет к увеличению трафика через внутренние сети зданий и Интернет. Это вызовет необходимость усиления ИТ и кибербезопасности для необходимой защиты данных от нежелательных обратных эффектов со стороны сети и преднамеренных кибератак.

Особый риск представляет усиливающаяся связь с мобильными девайсами и другими встроенными в IoT устройствами, которые, как правило, недостаточно защищены от несанкционированного вмешательства. При этом перехват хакерами контроля хотя бы над одним таким устройством из-за недостаточных мер безопасности позволит им получить доступ ко всей внутренней сети, к которой оно подключено. Поскольку сегодняшние брандмауэры скорее предназначены для предотвращения внешних атак, а не атак из внутренней сети, нет никаких специальных мер безопасности, чтобы остановить хакеров.
По данным исследования компании Accenture firm of management consultants, в течение следующих пяти лет фирмы и предприятия по всему миру столкнутся с дополнительными расходами и убытками в размере около 5,2 млрд долларов. Так, согласно барометру рисков Allianz, киберинциденты были самой опасной причиной оперативных перерывов в 2019 г. (50% ответов), на следующем месте после киберинцидетов пожары/взрывы (40%) и стихийные бедствия (38%). Впервые в мире киберпреступления стали одним из самых больших бизнес-
рисков [4]. К счастью, компании, в том числе строительные, начали осознавать опасности и риски, связанные с автоматизацией зданий.

"Беспроводная система и нормы пожарной безопасности. Как обеспечить выполнение 5 главных изменений" читать >>>

Как бороться с киберрисками?

Современные методы борьбы с такими рисками далеко не безуспешны. Мир в основном небезопасен, и опасности существуют повсюду. Все зависит от того, как справляться с этими рисками, и справляться с ними ответственно, чтобы избежать ущерба либо его ограничить. В качестве эффективной основы подходят простые меры безопасности. Например, информация должна распространяться только при необходимости.

Следует также уточнять, кому какая информация нужна, когда и с каким доступом. Для безопасной автоматизации здания большое значение имеет разделение его на зоны, например по уровням автоматизации помещений и управления. В зависимости от требований эти зоны могут быть категорированы по уровням безопасности и защиты по нормам IEC 62443-3-3, что приведет к соответствующим масштабам мер [2].

Как отмечает ведущий российский специалист в области автоматизации В.М. Милых, "на текущий момент можно констатировать, что на производственные процессы можно воздействовать удаленно, манипулируя протоколами производства, парализуя процесс или вызывая аварии производственных систем. По мере того как "умные производства" становятся все более распространенными, их безопасность будет становиться все более серьезным вопросом, а кибератаки – все более возможными… Тем не менее все изложенное позволяет сделать вывод о том, что пока производственные компании не понимают в полном объеме, сколь высок может быть риск "зловредного" воздействия на их производственные процессы и что борьба с уязвимостями – это один из путей создания надежной и безопасной производственной среды. Все сказанное в полной мере относится и другим отраслям человеческой деятельности" [4].

Для автоматизации зданий большое значение имеет разделение на зоны, например по уровням автоматизации помещений и управления. В зависимости от требований эти зоны могут быть категорированы по уровням безопасности и защиты по нормам IEC 62443-3-3.

Заключение

В качестве итога можно привести слова, прозвучавшие на заключительном обсуждении первого дня Intersec Forum 2019 в рамках Messe Frankfurt: "Оцифровка и соединение умных домов и умных зданий невозможны без достаточной кибербезопасности. Только тогда новые бизнес-модели могут быть успешными. Оцифровка может быть достигнута только в том случае, если все участники строительного сектора и BSI будут открыто и доверительно общаться друг с другом. Если риски обрабатываются ответственно, создание сетей и оцифровка могут рассматриваться как возможность повысить комфорт, эффективность и безопасность".

Список литературы

1. Максименко В.А. Совместимость систем и преодоление сетевых рисков // Системы безопасности. 2020. № 2. С. 89—90.
2. Питер Шененбергер, глава отдела маркетинга и управления продукцией Sauter, выступление на форуме Messe Frankfurt Intersec Forum 2019.
3. Материалы Light + Buildings 2020 Top Themes.
4. Милых В.М. Четвертая промышленная революция – философия технологической сказки // Автоматизация в промышленности. 2016. № 8.
5. Messe Frankfurt Intersec Forum 2019. Кибербезопасность: связь и новые бизнес-модели.

Опубликовано в журнале "Системы безопасности" №5/2020