Принимая решение о внедрении IoT, первым делом оценивают его способность справляться с угрозами безопасности. Если эта способность слишком низка, компании не спешат внедрять IoT, а следовательно, не получают выгоду от растущего количества способов его применения в различных отраслях производства.

Понимая это, отрасль выводит безопасность в приоритет: в настоящее время безопасность IoT интегрируется в само ядро промышленности и общественной инфраструктуры, включая такие фундаментальные области, как транспорт и логистика, энергетические системы, водоснабжение и общественная безопасность. Однако сделать предстоит еще многое. Нам все еще не хватает навыков, образованности и информированности. Многие компании по-прежнему настроены очень скептически и полагаются на дискредитировавший себя подход физического разделения для обеспечения безопасности своих заводов и инфраструктуры. Разделение ОТ и ИТ мешает им внедрять современные и хорошо зарекомендовавшие себя практики обеспечения безопасности.

Как же организациям следует подходить к безопасности IoT? Согласно «Отчету об уязвимости данных – 2015», подготовленному компанией Verizon, большинство нарушений требований безопасности связано с известными уязвимостями, которые компании вовремя не устранили имевшимися у них средствами. Следовательно, первым делом необходимо внедрить лучшие из существующих практик, следуя трем основным принципам:

• Внедрение основанной на единой политике архитектуры безопасности, построенной на базе открытого, стандартизированного подхода с автоматизированными возможностями для самозащиты и самовосстановления в результате оценки рисков.

• Объединение стандартов. Подрядчики и предприятия должны оптимизировать стандарты ИТ-сферы и лучшие практики ОТ, заполнив пробелы в стандартизации между профильными организациями и организациями, выстроенными горизонтально.

• Сотрудничество. ОТ, ИТ, команды информационной безопасности (главные специалисты по информационной безопасности), а также все подрядчики и консультанты должны совместно работать над созданием общих архитектур, не только включающих требования ОТ в портфель решений поставщика ИТ, но и поддерживающих форм-факторы, требования к работоспособности системы и интеграцию с традиционными промышленными протоколами. Безопасность не ваше отличие, это ваш фундамент. Следовательно, давайте учиться вместе и делиться накопленными знаниями.

Да, IoT во многом отличается от ИТ: он более распределенный, более разнородный, более динамичный. Многие новые сценарии IoT требуют совершенно новых подходов к безопасности. Мы более подробно изучим их в главе 9. Но первый шаг к безопасности IoT – использование более чем 30-летнего опыта и лучших практик, которые нам дали системы безопасности ИТ. Не будем изобретать велосипед.

Многие из нас считают IoT следующим этапом развития интернета, который использует основанное на интернет-протоколе (IP) распределенное облако для связи всего со всем. Старший вице-президент по системам управления предприятием и член IDC, занимающийся исследованием интернета вещей, Вернон Тернер сказал: «Считайте IoT сетью однозначно определяемых вещей, которые коммуницируют друг с другом без человеческого вмешательства на основе IP-связности». Довольно просто, правда? Кое-кто, включая меня, расширяет это определение, говоря о концепции, которую с подачи Cisco называют «интернетом всего» (IoE), или даже о цифровизации умных активов. IoE объединяет людей, процессы, информацию и все, что способствует повышению значимости сетевых связей посредством превращения информации в действия. Чтобы избежать излишних сложностей, в этой книге и IoE, и IoT называются IoT, то есть эти термины считаются синонимами.