Кроме того, ваша архитектура должна быть комплексной, основанной на наборе правил. Она должна защищать ваши данные, где бы они ни находились. Мы говорили, что ваша архитектура безопасности призвана охватывать ИТ и ОТ, но это только начало. Критически важная информация теперь может храниться где угодно – в цеху, магазине, на мобильных устройствах, в ИТ-инфраструктуре, местном центре обработки данных или в облачных сервисах. Поэтому вам необходимо сосредоточиться на том, где именно находятся данные, и внедрить архитектуру их безопасности, которая охватит все возможные сценарии, позволяя вам применять последовательные политики безопасности во всех этих областях. Не забывайте, что данные динамичны и транспортабельны. Многие сценарии использования IoT основаны на движении данных. Это означает, что данные в вашей организации постоянно перемещаются между датчиками, туманными узлами, центрами обработки, планшетами, облаком и т. д. Эти данные будут передаваться, копироваться, извлекаться и перемещаться различными методами, включая часто находящиеся под запретом портативные флеш-накопители (именно с помощью них Stuxnet и проник в промышленные сети). Как менеджер, заинтересованный в IoT, вы должны внимательно отнестись как к ИТ, так и к системной архитектуре. Вам не надо ее разрабатывать, но вы должны ее понимать, потому что она оказывает непосредственное влияние на все ваши начинания в сфере IoT.

По информации Шона Майкла Кернера, вице-президент программы «Продукты безопасности» компании IDC Кристиан Кристиансен озабочен серьезной проблемой в сфере безопасности IoT[43]. IDC полагает, что 90 % текущих предложений в сфере безопасности IoT представляют собой универсальные технологии безопасности, поданные под другим соусом. К примеру, некоторые поставщики предлагают стандартные шлюзы для IoT, обещая, что они будут совместимы с широким спектром технологий. Или предлагают стандартные сетевые экраны, развернутые в защищенной среде, добавляя несколько дополнительных идентификаторов и поддержку промышленных протоколов. Такие предложения просто не справляются с обеспечением безопасности IoT.

Кернер написал, что IDC во многом связывает проблему с трудностями поиска опытных специалистов по безопасности. IDC отмечает, что нанять профессионалов безопасности с пятью-десятью годами опыта гораздо сложнее, чем нанять специалистов по ИТ-безопасности без опыта работы. По мнению IDC, для решения этой проблемы необходимо удовлетворять постоянно растущую потребность в более интеллектуальной настройке и автоматизации систем, чтобы снизить потребность в человеческом вмешательстве в процедуры обеспечения безопасности. Полагаю, внедренная в ваши процессы настройки и автоматизации аналитика – и особенно предиктивная аналитика – поможет вам значительно сократить потребность в квалифицированных сотрудниках службы безопасности. Рискуя повториться, я все же скажу, что хорошее программное обеспечение, каким бы дорогим оно ни казалось, все равно дешевле найма большего количества людей.