Точка зрения / январь 2020
Умные и неуязвимые? Защищены ли носимые устройства от кибератак

Евгений Добринин
коммерческий директор AO "Навиком", официальный дистрибьютор Garmin в России
© ComNews
09.01.2020

Мир переживает бум носимых гаджетов, а вместе с тем растет и потребность в современных решениях в области кибербезопасности этого сегмента электроники. По некоторым оценкам, к 2023 году продажи надеваемых девайсов достигнут 260 млн штук. В деньгах объем рынка составит более $40 млрд, если верить прогнозам исследовательской компании CCS Insight. Не трудно сделать вывод, что вместе с появлением новых устройств с продвинутыми функциями и расширенным пакетом хранимых данных должны создаваться и инновационные методы обеспечения их безопасности, ведь с каждым годом они становятся все более лакомой приманкой для хакеров.

Стоит ли вообще задумываться о безопасности гаджетов

Задуматься есть над чем. Согласно исследованию, выполненному компанией HP в 2015 году, умные часы представляют собой плохо защищенный объект для кибератак. В числе возможных уязвимостей - ненадежное шифрование при передаче данных, слишком простая аутентификация, незащищенные веб-интерфейсы и др.

Распространенность и популярность умных устройств сегодня заставляет крупнейшие международные корпорации беспокоиться о безопасности конфиденциальных данных в связи с тем, что практически каждый второй офисный сотрудник активно пользуется носимыми гаджетами, в том числе на рабочем месте и с подключением к корпоративной сети. При этом общее количество кибератак в России быстро растет: например, центр мониторинга и реагирования на кибератаки "Ростелекома" Solar JSOC зафиксировал 765 259 атак, что на 89% больше, чем в 2017 году. А ежегодная совокупная выручка хакеров, по оценке вице-президента "Ростелекома" по информационной безопасности Игоря Ляпунова, составляет более 2 млрд рублей.

В СМИ с регулярной периодичностью появляются материалы о том, что якобы все пользователи смарт-часов подвергаются серьезнейшим рискам, а громкие заголовки только способствуют нагнетанию паники среди тех, кто не является экспертом в данной области. Специалисты же чаще сходятся на том, что проблемы уязвимостей есть у всех гаджетов, не только у wearable-устройств, и нельзя утверждать, что владельцы смарт-часов и фитнес-трекеров подвергаются сегодня большим рискам, чем, скажем, пользователи современных смартфонов и ПК, не говоря уже о более примитивных и наименее устойчивых ко взломам бытовых устройствах, таких как IP-камеры, умные колонки, лампы и т.д.

Почему кибербезопасность доступна не всем

Производители часов активно заботятся о безопасности и, по мере того, как внедряют в устройства все новые функции, принимают и дополнительные меры по защите данных. В особенности вопросы безопасности сегодня беспокоят владельцев устройств, которые пользуются функцией бесконтактных платежей, в частности через новые сервисы, такие как Apple Pay, Samsung Pay и Garmin Pay.

Пользователи регулярно интересуются, какие факторы безопасности учитывать при покупке смарт-часов, чтобы не стать случайной жертвой злоумышленников. Только производители-лидеры, которые тщательно следят за безопасностью веб-интерфейсов, используют новые методы и регулярно обновляют прошивки, в состоянии дать гарантии. Для каждой новой модели часов и браслетов производители создают отдельную секьюрити-программу, мониторят возможные риски и оперативно реагируют на цифровые вызовы. Отдельный вопрос стоит по поводу защиты детских smart-watch и устройств для родительского контроля, ведь к ним предъявляются повышенные требования, и единственная обнаруженная уязвимость может привести к потенциальной трагедии, а компании, ее допустившей, навсегда стоить репутации.

Крупные производители электроники часто сотрудничают с "белыми хакерами" для выявления уязвимостей продукции. В этом году Apple предложила рекордное вознаграждение от $200 тыс. до $1 млн за автономный взлом операционной системы. Такое беспрецедентное повышение ставок ярко иллюстрирует тренд на рынке - компании готовы публично демонстрировать, как много для них значит безопасность пользователей и как дорого они готовы за нее заплатить. В новой версии Apple Watch, по некоторой информации, появится функция Touch ID (сканер отпечатка пальца), что подтверждает вектор развития в сторону максимальной страховки от несанкционированного доступа к данным.

Дешевые неоригинальные смарт-устройства и так называемые нелегальные версии умных часов опций для защиты информации часто не предусматривают, а политика конфиденциальности непрозрачна и может противоречить законодательству, так что хранить на подобных девайсах чувствительную информацию не рекомендуется.

Путь к безопасности всегда начинается с телефона

Эксперты по киберсекьюрити советуют помнить, что безопасность smart-watch начинается с безопасности смартфона. Простейший путь для стороннего человека, чтобы попасть в смартфон, - это использование поддельных приложений. Поэтому разумно использовать только лицензионные приложения из App Store или Google Play и не препятствовать регулярному обновлению ПО умных часов. Этих простейших мер хватит, чтобы обеспечить приемлемый уровень личной безопасности. Однако согласно некоторым исследованиям, на которые ссылаются зарубежные СМИ, только 50% пользователей умных гаджетов предпринимают даже самые простые меры по защите персональной информации: половина по-прежнему использует элементарные пароли и не вводит двухфакторную аутентификацию.

Такая безалаберность беспокоит менеджмент корпораций, сотрудники которых носят смарт-часы. Как в таком случае обезопасит конфиденциальные данные организации от утечек? Специалисты IT-служб должны предоставлять для подобных устройств гостевой доступ к Wi-Fi и не допускать их подключения к внутренней сети, где может храниться бизнес-информация. Если вы участвуете в корпоративной фитнес-программе и используете цифровые платформы, которые собирают данные с трекеров или других смарт-устройств сотрудников, то проведите тщательный due diligence операторов услуг и протоколов безопасности. Все помнят событие 2018 года, когда через фитнес-приложение Polar Flow в интернете стали доступны данные 6000 пользователей, включая сотрудников американских ФБР, АНБ и российских военных в Крыму. Напоминайте сотрудникам о необходимости использования мультифакторной аутентификации на гаджетах, проверяйте подозрительные попытки устройств получить доступ к сети и корпоративной электронной почте и не позволяйте сотрудникам указывать при регистрации в различных приложениях корпоративные адреса.

Не только хакеры могут атаковать ваши умные устройства, но также и разного рода рекламщики и спамеры. Если вы пользуетесь мобильными приложениями, в которых хранятся и анализируются какие-либо данные о вашем здоровье, то внимательно изучите настройки безопасности и то, какую личную информацию о вас они могут передавать третьим лицам в рамках соглашения об использовании. В дальнейшем они по согласию самого пользователя часто получают право продавать личную информацию рекламодателям, например фитнес-клубам, клиникам или фармацевтическим компаниям, и избавиться от навязчивых предложений будет не так просто. Отдельно стоит насторожиться, если приложение отправляет запросы на получение данных об аккаунте пользователя или дополнительно запрашивает разрешение на отправку геолокационных данных.

Некоторые производители сегодня предлагают смарт-часы с особым уровнем защиты, который подойдет представителям определенных профессий, в том числе военным, представителям силовых структур и т.д. Такие часы имеют специальную кнопку Stealth Mode для стирания памяти и всех личных данных и режим, который отключает беспроводные соединения и прекращает запись и выдачу данных GPS. И хотя эта функция разработана специально для военных применений, пользоваться ей может каждый, кто внимательно относится к вопросу хранения конфиденциальных данных. Не исключено, что бренды внедрят подобные режимы и на более массовых моделях умных гаджетов, ведь с развитием технологий все больше пользователей всерьез озабочены вопросом личной безопасности в связи с использованием умной носимой электроники.

Поддаваться паранойе в связи с уязвимостью носимых гаджетов не стоит, ведь эксперты считают, что риски от корпоративного и личного использования смарт-часов и браслетов и их возможные экономические последствия значительно ниже, чем те, которые могут возникать в связи с остальными современными киберугрозами. С другой стороны, пока гигантских утечек и громких скандалов, связанных именно со смарт-часами известных производителей, в России не случалось, за исключением отдельных неприятных инцидентов, а значит, и кибер-прививки у всей отрасли пока нет и многие решения по защите данных еще только предстоит внедрить. В перспективе же ответственное использование носимых гаджетов может стать не только угрозой, но и дополнительным гарантом безопасности - например, девайсы, которые всегда с нами, могут служить средством дополнительной идентификации пользователей в самых различных ситуациях, которые требуют использования цифровых ключей.

О компании

Garmin - американский производитель навигационных систем и носимой электроники для спорта и активного отдыха, известный российскому потребителю в том числе линейкой портативных навигаторов и смарт-часов.