Безопасность интернета вещей в 2025 году: угрозы, ошибки и защита

[BOOX]

Интернет вещей (IoT) меняет мир быстрее, чем кажется: бизнесы, фабрики и дома становятся умнее с каждым новым подключенным устройством.

Но вместе с удобством растут и угрозы. IoT-устройства все чаще попадают в поле зрения киберпреступников, а типичные ошибки в разработке и слабое регулирование лишь упрощают им задачу. Разбираемся, почему безопасность в мире IoT сегодня важна как никогда, с какими рисками сталкиваются пользователи и разработчики, в чем чаще всего ошибаются команды и какие шаги помогут выстроить надежную экосистему на будущее.

Безопасность IoT: почему растущая экосистема требует особого контроля​

Сегодня IoT это не только «умные» лампочки и розетки, это производственные линии, энергосети, медицинские устройства и транспортные системы. Количество подключенных «вещей» уже

Для просмотра ссылки необходимо нажать Вход или Регистрация

, и к 2030 году их станет втрое больше, чем людей на планете.

Быстрый рост IoT-экосистемы сопровождается хроническими проблемами с безопасностью. Минимальная защита устройств, спешка при выводе на рынок, отсутствие общих стандартов и нерегулярные обновления создают огромную и разнородную атакуемую поверхность.

Для атакующих IoT — удобный плацдарм: через слабо защищенные устройства можно проникать в корпоративные сети, организовывать масштабные DDoS-атаки или нарушать работу критически важных систем.

Взлом IoT-устройств — не гипотетическая угроза, а давно реальность: от ботнетов вроде Mirai, парализовавших половину интернета, до атак на промышленные системы с реальными последствиями для бизнеса и безопасности людей. IoT стал зоной постоянного риска, требующая отдельного внимания и подходов в стратегии информационной безопасности.

IoT-системы сегодня — главная цель киберпреступников​

За последние два года

Для просмотра ссылки необходимо нажать Вход или Регистрация

. Причем речь идет не о сложных целевых операциях, а об автоматизированных сканированиях, ботнетах и массовых попытках компрометации через известные уязвимости. Как только новое устройство подключается к сети, оно сразу оказывается под прицелом ботов, перебирающих пароли по списку стандартных комбинаций.

Сегодня IoT-девайсы занимают довольно большую нишу среди всех потребительских устройств. Однако их безопасность зачастую оставляет желать лучшего, не поспевает за их популярностью.

Из основных направлений атак в данных системах можно выделить следующие:

• Удаленный доступ во внутреннюю подсеть. Так как данные устройства чаще всего имеют прямой доступ во внутреннюю сеть, они являются лакомым куском для потенциальных нарушителей. Скомпрометировав подобное устройство, злоумышленник может использовать его как точку закрепления в сети для дальнейшего распространения атаки.
• Кража и модификация данных, собираемых устройством, неавторизованный доступ к его функциональности. Злоумышленник может украсть конфиденциальные данные, собираемые устройством, или же напрямую управлять его функциональными возможностями с целью нарушения процессов, в которые это устройство включено, например, вызвать пожарную тревогу.
• Добавление устройства в botnet-сеть. Если скомпрометированное устройство имеет доступ в интернет, то оно может пополнить ряды botnet-сети злоумышленника и использоваться во многих вредоносных активностях, например, рассылке спама или DDoS-атаках, а также для майнинга криптовалют.

Особенность атак на IoT — их масштабность и «молчаливая» эффективность. Взломанное устройство может месяцами работать на злоумышленников, участвовать в DDoS-атаках, при этом не выдавая себя явными сбоями.

Наибольшему риску подвергаются:

• Маршрутизаторы и сетевое оборудование. Излюбленная цель из-за постоянной доступности и ключевой роли в инфраструктуре.
• IP-камеры. Широко распространены, часто имеют слабую аутентификацию и редко получают обновления.
• Устройства промышленной автоматизации (ICS/SCADA). Привлекательны для целевых атак на производство и энергетику.
• Медицинские устройства. От кардиомониторов до инфузионных насосов, часто работают на устаревшем ПО без возможности обновления.
• «Умные» бытовые устройства. Телевизоры, колонки, системы отопления и кондиционирования, которые все чаще включаются в общие сети вместе с корпоративными системами.

Главная проблема — многие IoT-устройства изначально проектируются без должного запаса прочности по безопасности. Когда к этому добавляется долгий жизненный цикл устройств без возможности патчить уязвимости, атаки становятся лишь вопросом времени.

Основные угрозы и уязвимости IoT​

Такие устройства IoT, как умные дома, машины и бытовая техника, делают нашу жизнь удобнее, но одновременно открывают множество дверей для кибератак. Почему эти устройства так легко становятся мишенями? Ответ прост: в них часто встречаются уязвимости, которые хакеры могут использовать для вторжения в сети и атаки.

Проблемы с прошивкой и обновлениями​

Многие IoT-устройства работают на устаревших прошивках. Производители выпускают обновления, устраняющие уязвимости, но часто устройства остаются без патчей, либо из-за пренебрежения владельцев, либо из-за слабой поддержки со стороны производителей. Это открывает путь для хакеров, которые могут удаленно получить доступ к устройствам, внедрить вирусы или использовать их для атак на другие системы.

С IoT-системами у большинства все, как в гараже, «на авось»: пароли по умолчанию (admin/admin — а такие я тоже встречал за свою практику), отсутствие шифрования или проверок целостности данных, отсутствие каких-либо обновлений, так что устройства работают на старом уязвимом ПО годами, и самое главное — зачастую IoT не включают в общую модель угроз предприятия. Их просто не видят.

Особенно опасно это для старых моделей роутеров и камер видеонаблюдения. Для бизнеса такие уязвимости могут обернуться серьезными последствиями, если речь идет о промышленных или инфраструктурных системах, где даже незначительная угроза может привести к крупным потерям.

Протоколы связи: открытые двери для атак​

Многие протоколы, такие как HTTP, FTP, Bluetooth и Wi-Fi, изначально не рассчитаны на высокий уровень безопасность. Без должного шифрования или проверки подлинности злоумышленники могут перехватывать данные, внедрять вредоносные команды или проводить спуфинг-атаки. Особенно уязвимы промышленные IoT-системы вроде SCADA, где любая утечка или сбой могут стоить очень дорого.

Проблемы с мониторингом​

Отсутствие эффективного мониторинга — еще одна большая проблема. Многие устройства внедряются в корпоративные сети без должного контроля, что затрудняет своевременное обнаружение атак. Зачастую устройства не поддерживают мониторинг или плохо интегрируются с традиционными системами безопасности. Без централизованного контроля злоумышленники могут использовать устройства, превращая их в части ботнетов, а владельцы даже не подозревают о происходящем, пока не случится катастрофа.

Ошибки при разработке и внедрении IoT-систем​

Ошибки на старте проектирования IoT-систем часто оборачиваются серьезными «дырами» в безопасности. Одна из типичных проблем — устройства с ограниченными ресурсами остаются без нужной защиты, а вместе с ними страдают сегментация сети, шифрование и контроль доступа. Такие слабые места могут сделать всю систему уязвимой для атак.

При построении IoT-систем чаще всего встречаются ошибки на уровне разработки устройства и ошибки на этапе настройки устройства. Стоит понимать, что многие компоненты IoT-устройств представляют собой «черные ящики» — компании-покупатели зачастую имеют ограниченное представление об их внутреннем устройстве. Поэтому необходимо проводить аудит закупленных решений для выявления всех возможных проблем, скрытых уязвимостей и потенциальных угроз.

IoT-устройства могут иметь заданные пароли по умолчанию, которые сложно, а в некоторых случаях невозможно обновить. Например, с помощью специальных поисковых систем, обнаруживающих различные подключенные к интернету устройства и сервисы, злоумышленники могут составить запрос, который отобразит нужное им IoT-устройство, и подключиться к нему, использовав пароль по умолчанию, который можно найти в открытом доступе.

Чтобы избежать угроз, безопасность должна быть встроена в каждый этап работы над IoT-решением. Это включает сильное шифрование, надежную аутентификацию, отказ от стандартных настроек по умолчанию и обязательные проверки на наличие уязвимостей.

Стандарты и регулирование безопасности IoT в России​

С развитием интернета вещей в России безопасность IoT-устройств становится важнейшей частью национальной стратегии в сфере информационной безопасности. Правовые и нормативные акты, регулирующие эту область, все еще находятся на стадии активного развития, и многие аспекты остаются в поле неопределенности.

Актуальная нормативная база​

В России регулирование безопасности IoT в основном основывается на ряде ГОСТов, а также инициативах государственных органов, таких как Минцифры и Национальный технологический комитет (НТК):

• ГОСТ Р 57580-2021. Этот стандарт касается защиты информации в IoT-системах, включая требования к физической безопасности устройств, шифрованию данных и безопасности связи.
• НТК «Безопасность информационных технологий». Этот орган активно работает над разработкой новых стандартов для IoT, которые будут учитывать специфику устройства и их интеграцию в критическую инфраструктуру.
• Инициативы Минцифры. Министерство цифрового развития регулярно инициирует новые проекты и рекомендации, направленные на повышение уровня защиты IoT-устройств.

Эти инициативы создают основу для регулирования безопасности IoT в России, однако существует ряд пробелов, таких как отсутствие четкого разделения на разные категории устройств и нестабильность сертификационных процедур.

С 1 ноября 2024 года действует ГОСТ Р 59026‑2024, который подробно регламентирует параметры NB‑IoT и методы интеграции в сети 5G/5G NTN. ТК 194 «Кибер‑физические системы» разработал первый национальный стандарт доверия к IoT. Россия также участвует в работе ISO/IEC и продвигает собственные протоколы NB‑Fi и MIRT.

Увы, вопросам именно прикладной информационной безопасности в них уделено немного внимания, потому что IoT у нас еще далеко не повсеместно распространен как явление.

Международный опыт​

Международные стандарты, такие как ETSI и NIST, дают более четкие ориентиры для обеспечения безопасности IoT:

• ETSI публикует стандарты, которые касаются всех аспектов безопасности IoT, включая управление идентификацией, шифрование данных, безопасность сетевого уровня и защиты от атак. Например, ETSI EN 303 645 является одним из основных стандартов для IoT-устройств, требующих безопасности.
• NIST в своей публикации «NIST Special Publication 800-53» дает детализированные рекомендации для защиты данных и систем, а также определяет конкретные меры по обеспечению безопасности для устройств IoT. Документы NIST фокусируются на создании безопасных архитектур и проведении регулярных тестов уязвимостей.

Россия в значительной степени ориентируется на зарубежные стандарты, но внедрение и адаптация этих стандартов на локальном уровне остаются на начальной стадии.

Специализированных стандартов для защиты IoT-устройств у нас в стране нет, но есть стандарты, относящиеся к защите АСУ ТП и КИИ, — это требования по защите информационных систем, актуальные с точки зрения ИБ и в том числе применимые к IoT. Если выйти за рамки российского законодательства и обратиться к международной практике, можно воспользоваться свежим стандартом в области безопасности IoT — ISO/IEC TS 30149:2024.

С точки зрения стандартов сценарий защиты IoT-устройств довольно прост. Если IoT-устройства входят в состав объекта КИИ, необходимо использовать нормативную документацию по КИИ. Если устройства входят в состав АСУ ТП, но объект не относится к КИИ, ориентируйтесь на приказ ФСТЭК № 31. В случае же личного пользования необходимо изучить возможности IoT-устройств с точки зрения ИБ и наиболее полно использовать их.

Основное отличие в том, что российские нормативные акты пока не предлагают комплексных требований, таких как в международных стандартах, по защите от конкретных типов угроз, например, от ботнетов или DDoS-атак.

Проблемы в регулировании​

Несмотря на прогресс, существует ряд проблемных зон в регулировании безопасности IoT в России:

• Отсутствие единых стандартов для всех устройств IoT. Российские нормативные акты пока не делят IoT-устройства по категориям и не предлагают дифференцированного подхода в зависимости от критичности устройства. Например, требования для «умных» колонок и промышленных датчиков должны быть разными, но часто стандарты не делают такого различия.
• Недостаток инфраструктуры для сертификации IoT-устройств. Несмотря на инициативы Минцифры, процесс сертификации остается сложным и дорогим для производителей. Это затрудняет массовое внедрение стандартов безопасности на рынке.
• Проблемы с контролем за соблюдением стандартов. Даже если стандарты существуют, их соблюдение на практике может быть проблематичным. Отсутствие жестких механизмов контроля и ответственности за несоответствие стандартам остается значительным препятствием.

К сожалению, регулирование IoT в России находится лишь на начальном этапе развития. Существующие нормативные акты в области информационной безопасности, как правило, не учитывают специфику IoT-систем и требуют серьезной доработки.

Необходимо разработать четкие отраслевые стандарты безопасности, учитывающие риски для различных сфер применения IoT, включая умные города, промышленность, энергетику и транспорт. Эти стандарты должны быть гармонизированы с международными практиками и учитывать лучшие мировые наработки в области безопасности IoT.

Несмотря на наличие инициатив, есть необходимость в улучшении контроля, внедрении дифференцированных требований по защите устройств и усилении сертификации. Важно, чтобы российская практика по безопасности IoT не отставала от мировых тенденций, что позволит избежать уязвимостей в национальной экосистеме IoT.

Современные и перспективные решения для защиты IoT​

IoT-системы — это не только революционные технологии, но и новые риски, которые требуют свежих и гибких решений для защиты.

Если говорить о современных решениях, то в протоколах вроде LoRaWAN защита заложена на уровне стандарта: радиоперехват бесполезен, данные шифруются, подмена невозможна. Однако IoT-сети работают не только на полевом уровне (радио), но и через стандартные TCP/IP-устройства, где уязвимости и методы защиты такие же, как в классических сетях.

Чтобы обеспечить безопасность в таких масштабах, необходимы как проверенные методы, так и новаторские подходы, которые учитывают все многообразие экосистем:

• Сегментация сетей. Разделение сети на отдельные сегменты — это основа защиты IoT. Если одно устройство выходит из строя, другие сегменты остаются неприкосновенными. Это особенно важно в таких областях, как промышленность и здравоохранение, где устройства могут быть как простыми датчиками, так и мощными серверами. Такой подход позволяет локализовать угрозу, не давая ей распространиться на всю систему.
• Zero Trust. Модель Zero Trust — это строгая политика безопасности, при которой каждый запрос на доступ проверяется, независимо от того, откуда он поступает. Все устройства, включая IoT, должны быть идентифицированы, а доступ — ограничен. Это минимизирует риски, снижает влияние внутренних угроз и повышает защиту даже в случае взлома.

Современные решения для защиты IoT все больше опираются на автоматизацию и встроенные механизмы безопасности. Платформы управления безопасностью, такие как SIEM и SOAR, теперь работают в тесной связке с IoT-устройствами. Это позволяет быстро выявлять аномалии и вовремя реагировать на инциденты, избавляя специалистов от рутины, давая им возможность сосредоточиться на более важных задачах.

Если мы говорим про физическую защищенность, хорошим способом обеспечения безопасности являются полное или частичное отключение режима откладки (UART, JTAG и др.) или его маскировка. Эффективность показали установка парольной защиты на дебаг-режим, шифрование и подписание прошивки. К нестандартным решениям можно отнести установку платы, залитой эпоксидной смолой, а также использование малораспространенных микросхем и элементов, документация к которым отсутствует.

Внедрение IoT-систем — отдельное направление, в котором происходят аналогичные supply chain attack процессы. Иногда производители встраивают в свои устройства защиту от вскрытия. В таком случае при открытии крышки устройства срабатывает сигнализация, которая издает громкие звуки или отправляет сигнал на пульт оператора. Вместе с тем, в силу различных причин, эта защита не всегда должным образом настраивается инженерами на производстве, а принимающие специалисты могут не знать о данной функции.

Потенциально, ИИ и машинное обучение могут обеспечить новый уровень защиты IoT. С помощью алгоритмов данные анализируются в реальном времени, выявляются аномалии и прогнозируются возможные угрозы. Эти системы обучаются на реальных атаках, предсказывая риски и блокируя их еще до того, как они смогут нанести ущерб. Такая динамическая адаптация позволяет устройствам IoT быть готовыми к любой угрозе, которая может появиться на горизонте.

Заключение​

Уже сегодня каждый непропатченный роутер, каждая камера со стандартным паролем — это орудие в руках киберпреступника, ждущее своего часа.

Но выход есть. Нужно начинать с малого: обновить прошивку самого старого IoT-устройства в вашей сети прямо сейчас. Завтра — проверить настройки маршрутизатора. Послезавтра — внедрить сегментацию. Безопасность IoT это не разовое мероприятие, а ежедневная практика.

Для просмотра ссылки необходимо нажать Вход или Регистрация