IoT Conf UA 2016 "Cтандартизация и безопасность - от M2M к IoT" "Standardization and Security - from M2M to IoT" Денис Кравченко, Специалист отдела информационной безопасности, "Vodafone Ukraine" Denys Kravchenko, IT Security Specialist, "Vodafone Ukraine" E-mail: [email protected][email protected]
30
Embed
M2M to IoT - standartization_and_security #iotconfua
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
IoT Conf UA 2016
"Cтандартизация и безопасность - от M2M к IoT""Standardization and Security - from M2M to IoT"
Денис Кравченко,Специалист отдела информационной безопасности,
● Встра́иваемая систе́ма (встро́енная систе́ма, англ. embedded system)— специализированная микропроцессорная система управления,концепция разработки которой заключается в том, что такая системабудет работать, будучи встроенной непосредственно в устройство,которым она управляет.
● Распространенность;
● Доступность;
● Ограниченная функциональность;
● Относительная беззащитность;
● Работоспособность важнее безопасности;
● Превалирование проводных технологий доступа;
● Устаревшая модель угроз;
Предистория вопроса
● Machine-to-Machine, M2M — общее название технологий, которыепозволяют машинам обмениваться информацией друг с другом, или жепередавать её в одностороннем порядке. Это могут быть проводные ибеспроводные системы мониторинга датчиков или каких-либопараметров устройств (температура, уровень запасов, местоположениеи т. д.).
● В Европе крупнейшими операторами является Telefonica в Испании,Telenor (Скандинавия), Orange Business Services (входит в FranceTelecom) и Vodafone.
● По оценкам МСЭ 50 млрд. устройств будут подключены к интернету к2020 году.
Настоящее время
● Интернет вещей (англ. Internet of Things, IoT) — концепциявычислительной сети физических объектов («вещей»), оснащённыхвстроенными технологиями для взаимодействия друг с другом или свнешней средой[1], рассматривающая организацию таких сетей какявление, способное перестроить экономические и общественныепроцессы, исключающее из части действий и операций необходимостьучастия человека.
● Облачные вычисления;
● Программно-определяемые сети;
● IPv6;
● Новые стандарты и протоколы связи - 5G;
● Успехи в разработке миниатюрных и долговечных источников питания;
Различия между M2M и IoT
Некоторые международные институтыучаствующие в стандартизации IoT
● ISO;
● МСЭ (группа ITU-IT SG20);
● GSMA;
● GlobalPlatform;
● IoT Forum-ы;
● Альянсы ( LoRa Alliance, другие);
● Open Source сообщества (OASIS — MITT Message Queuing TelemetryTransport);
● Другие заинтересованные стороны (oneM2M, OMA, ...);
У каждого свое видение, пожелания, особенности, ...
Направления стандартизации
● Архитектура;
● Интерфейсы взаимодействия;
● Протоколы;
Общие требования к IoT
● Универсальность;
● Дешевизна;
● Массовость;
● Вандалоустойчивость;
● Легкость в администрировании;
● Небольшая нагрузка на канал связи;
● Работа в условиях постоянной потери связи или других проблем на линии,«сеансовость» связи;
● Отсутствие ограничений на формат передаваемого контента;
● Отраслевые стандарты космонавтики, авиации,стандарты безопасностидля систем реального времени и поддержки жизнеобеспечения;
● Ассоциации производителей автомобилей (Self-driving cars Safety);
Типовые проблемы общей стандартизации
● «Свои» решения в качестве стандартов;
● Отраслевая замкнутость;
● Дискриминационные альянсы;
● Высокие патентные отчисления и роялти;
● Стандартизация существующих (не лучших) решений для ускорениявремени окупаемости и уменьшения времени выхода на рынок;
Типовые проблемы общей стандартизации - патенты
Причины проблем безопасности IoT
● Ограниченный объем источника питания;
● Малая вычислительная мощность;
● Часто отсутствие реализации механизмов безопасных вычислений (SE,TEE, …);
● Невозможность реализовать механизмы безопасности из-за требуемойнизкой стоимости;
● Возможность атак по отводным каналам side-channel attack и ПЭМИН;
● Локальные требования законодательства в глобализированном мире(роуминг для M2M);
● Затруднен контроль безопасности - несколько участников схемы IoT;
Прогнозы по проблемам безопасности M2M/IoT
● Zombified Internet of Things (IoT);
● Невозможность исправить появившиеся проблемы в кратчайшие сроки(отсутствует возможность обновлений, удаленного доступа, …);
● Формирование недостоверных отчетов и прогнозов из-за массововзломанных/модифицированных датчиков, и, как следствие, принятиенеправильных решений, могущих привести к техногенным катастрофам;
● Тотальный контроль/шпионаж (снижение уровня демократичности отдельныхстран);
● Установление контроля более высокотехнологичных стран над менеетехнологически развитыми странами;
● Уменьшение возможностей по борьбе с терроризмом;
● Компрометация персональных данных и конфиденциальной информации;
Примеры проблем по безопасности M2M/IoT
IoT Next Surveillance Frontier, Says US Spy Chief US Director of NationalIntelligence James Clapper delivers chilling remarks regarding the Internet ofThings, noting there may come a day when spy agencies may tap into IoT forsurveillance, network access, and more.
09.02.2016, James Clapper told US Senate members - "In the future,intelligence services might use the [Internet of Things] for identification,surveillance, monitoring, location tracking, and targeting for recruitment, or togain access to networks or user credentials".
Новые возможности
● Медицинские датчики;
● Производственные датчики;
● Кастомизация через детальную персонификацию;
● Высоко-целевая реклама (при ее деперсонализации);
Уровень стандартизации безопасностиIoT и его важность
● Безопасность IoT вынесена на уровень национальной безопасности вСША:
To address the security of IoT devices, President Obama's newCybersecurity National Action Plan, introduced 09.02.2016, calls forestablishing a testing and certification center for IoT devices:
The Department of Homeland Security is collaborating with UL and otherindustry partners to develop a Cybersecurity Assurance Program to test andcertify networked devices within the “Internet of Things,” whether they berefrigerators or medical infusion pumps, so that when you buy a newproduct, you can be sure that it has been certified to meet securitystandards.