Как защитить умный офис от злоумышленников

Разработкой умных офисов занимаются компании Siemens, Cisco, Intel, Honeywell, ABB, Schneider Electric, Lenovo и Orange Business. В ближайшие пять лет рынок умных офисов вырастет вдвое. Исследователи из Markets and Markets в 2017 году оценили его в 22 миллиарда долларов, а к 2023 году он перешагнет за отметку в 46 миллиардов долларов.

Смарт-офис упрощает жизнь бизнесу: умные счетчики позволяют экономить на коммунальных услугах, а датчики безопасности заметят нежелательное проникновение в здание и предупредят об этом охрану. Но система сама может стать объектом нападения. Владельцы бизнеса могут даже не узнать, что их взломали. Это подтверждается статистикой: 82% хакеров способны украсть данные в течение нескольких минут с момента проникновения в систему, тогда как 75% компаний могут неделями не реагировать на успешную атаку. Какими уязвимостями умного офиса могут воспользоваться злоумышленники и как им противостоять — разбираемся с Юрием Бармотиным, начальником отдела управления интеллектуальными услугами.

Из чего состоит смарт-офис

Умный офис объединяет видеонаблюдение, климат-контроль, освещение, управление лифтами, пожаротушение. Это сложная телекоммуникационная сеть. Например, умное освещение требует установки датчиков движения, чтобы свет выключался тогда, когда из офиса выходит последний человек. Также нужны датчики освещенности и контроллеры для управления светильниками. Устройства связаны между собой и управляются из единого центра — с сервера или компьютера, на который установлено программное обеспечение.

Где прячутся основные уязвимости

Объектом атак может стать любой элемент цепочки: единый центр или одно из устройств. Чтобы взломать датчики или контроллеры, достаточно знать их серийный номер. А с помощью фишинговых рассылок легко получить доступ к офисным компьютерам.

Система уязвима и во время передачи данных. Интернет — среда, доступная каждому, поэтому связанные с ней инфраструктуры нужно выстраивать особенно аккуратно. Доступ к одному из компонентов делает уязвимой инфраструктуру целиком — то есть под удар попадут все компоненты умного офиса.

Подключиться извне можно во время обмена данными между контроллерами, датчиками и единым центром. Связь между устройствами поддерживается по вайфаю, Bluetooth или через проводное соединение. В первых двух случаях нужно помнить, что беспроводные соединения уязвимы для атаки, а шифрование вайфая можно взломать даже без специальных устройств.

Обеспечить безопасное подключение к интернету

Угрозу взлома через сеть признают и сами производители оборудования. Например, компания Trend Controls, которая создает системы управления зданиями, указывает в описании своих продуктов, что их нельзя подключать к глобальной сети.

Такая возможность не всегда есть, ведь выход в интернет позволяет удаленно управлять системами. Но можно свести риски к минимуму. Для этого желательно, чтобы доступ в интернет был временным. Когда нет необходимости дистанционного управления, от сети стоит отключаться. Чтобы усилить защиту, серверы могут использовать VPN, межсетевой экран, а также периодически сбрасывать подключение.

Во время выхода в интернет уязвимы все элементы умного офиса, в том числе датчики и контроллеры. Обмен информацией между устройствами должен быть зашифрован с помощью цифрового ключа. Это позволит защититься от несанкционированного доступа. Причем чем более сложным и многоуровневым будет шифрование, тем труднее злоумышленникам проникнуть в умный офис. Поэтому стоит объединить контроллеры в разные группы и для каждой задать собственный мастер-ключ — это дополнительный пароль, который защищает устройства. Не зная его, нельзя взломать систему.

Отказаться от единого центра

Сегментация оборудования при взломе позволит локализовать потери и защитить всю систему. Лучше всего задумываться о безопасности смарт-офиса при его создании. Если вы находитесь как раз на этом этапе, специалисты рекомендуют устанавливать умную сеть распределенного типа, в которой нет единого центра или главного компьютера. Это позволит уже на нулевом этапе создания системы заложить механизмы противодействия возможному проникновению извне.

Установить контроль за системой

Мониторинг целостности файловой системы позволяет быстро обнаружить вторжение, если предотвратить его все-таки не удалось. Хост-ориентированные системы постоянно сканируют сеть умного офиса на предмет того, была ли она скомпрометирована. Безопасность обеспечивается за счет регулярного сравнения текущего состояния файлов с ранее собранной о них информацией.

Защищать устройства с доступом к системе

Управлять умным офисом удаленно со смартфона или планшета удобно. Но подключение устройства с доступом к смарт-офису к общественному вайфаю может скомпрометировать всю систему. Чтобы защитить корпоративные данные, нужно разделить среду на рабочую и личную. Тогда рабочие приложения шифруются и хранятся отдельно, их трафик проходит через межсетевой экран, что обеспечивает дополнительный уровень защиты.

Обновлять прошивку

Умный офис объединяет в себе сотни устройств. Обновлять каждое из них вручную очень трудозатратно. Следует приобретать оборудование с возможностью удаленного обновления — это так называемая «управляемость по воздуху» (ОТА, ‎Over-the-air). Разработчики регулярно мониторят уязвимости и вносят исправления в прошивку. Эти доработки поддерживают безопасность умного офиса.

Ограничить доступ к системе

Пользователей, имеющих доступ к системе, лучше разделить на группы. Ограничение числа тех, кто имеет административный доступ в систему, поможет заблокировать подозрительную активность, если аккаунт взломан. Хакеры пользуются не только техническими уязвимостями, но и прибегают к методам социальной инженерии. Вместо того чтобы подбирать пароль к оборудованию, они делают рассылку с вредоносными файлами, рассчитывая на невнимательность сотрудников. Такие сообщения часто маскируют под корпоративные письма. Люди, которые попались на удочку так называемого фишинга, скомпрометировали свои рабочие компьютеры. Но разделение пользователей на группы поможет остановить заражение системы.

Именно так и произошло в американской сети ресторанов. Злоумышленники попытались проникнуть в экосистему умного офиса. Заведению удалось заблокировать атаку, потому что диспетчер безопасности отключил права администратора на тех хостах, где они не требовались.

Менять пароли и ввести многофакторную аутентификацию

Производители защищают датчики и контроллеры простой комбинацией цифр 123456 или словом password. Но даже если создатели потрудились и придумали более сложное сочетание, выяснить подробности для взломщиков не составляет труда: в сети публикуют списки заводских настроек для техники. Часто это делают сами производители.

Новый пароль, который вы вводите при установке оборудования, дает лишь временную защиту, потому что он уязвим и злоумышленники могут расшифровать его. Чтобы обеспечить безопасность умного офиса, нужно регулярно менять пароли. Эксперты рекомендуют обновлять их раз в полгода-год.

Вовремя пресечь попытку взлома поможет многофакторная аутентификация. В качестве дополнительного параметра защиты выберите одноразовый код, который будет приходить по СМС или в специальном приложении. Из этих способов предпочтительнее второй, потому что сообщения легко взломать. Несколько этапов аутентификации можно сравнить с замками: чем их больше, тем меньше вероятность того, что к вам проникнут.

Не выкладывать в сеть данные об устройствах

Достаточно знать, какое именно оборудование подключено к системе, чтобы получить к нему доступ. Выяснить это можно за пять минут. Во время эксперимента британский исследователь без труда установил, какие контроллеры используются в терминале № 5 аэропорта Хитроу. Причина уязвимости была в том, что данные были опубликованы в открытом доступе.

Если злоумышленник знает серийный номер устройства, он может отправить ему файл конфигурации, и контроллер сразу же его примет. Чтобы избежать такого сценария, данные об устройстве — в особенности серийный номер — должны быть доступны только техническому персоналу вашей компании.

Информационная гигиена

Безопасность умного офиса зависит не только от «свежести» программного обеспечения, сложности паролей и качества шифрования. На защищенность системы влияет человеческий фактор. Хакеры рассылают вредоносные письма в надежде на невнимательность сотрудников компании. Антивирусы, конечно, ликвидируют многие угрозы, но немало зависит от технологической грамотности работников.

***

Безопасность умного офиса складывается из целого комплекса мер. Это необходимая плата за спокойную работу и уверенность в том, что никакие злоумышленники не сорвут ваши бизнес-планы. Чтобы умный офис не превратился в источник беспокойства, вопросами его защиты нужно заняться уже сейчас.