Расширенный поиск

ИНТЕРНЕТ ВЕЩЕЙ: ВИРТУАЛЬНОЕ БЛАГОДЕНСТВИЕ И РЕАЛЬНЫЕ РИСКИ

Самый кошмарный газетный заголовок для меня звучал бы так:
«100 000 холодильников атаковали Банк Америки».
Винт Серф
(Вице-президент компании Google, один из основателей интернета)

Дом семьи Марти МакФлая 21 октября 2015 г., куда герой попадает благодаря машине времени в фильме «Назад в будущее», выглядел очень футуристично пару десятилетий назад. Сегодня, в реальном октябре 2015 г., могло показаться, что мы несколько отстали от будущего, придуманного режиссерами в конце 80-х годов XX века, однако многие элементы умного дома уже существуют и в нашем настоящем. Развитие виртуальной реальности идет огромными темпами, меняя нашу повседневную жизнь, а также представления о том, какой она должна быть, и стирая грань между онлайновым и офлайновым режимами.

ИНТЕРНЕТ ЧЕГО?

Согласно рекомендации группы МСЭ по стандартизации ITU T Y.2060 (06/2012), интернет вещей (Internet of Things, или IoT) определяется как глобальная инфраструктура информационного общества, обеспечивающая продвинутые услуги в результате соединения физических и виртуальных вещей на основе взаимодействия существующих и развивающихся информационно коммуникационных технологий (ИКТ). Начало интернета вещей (ИВ) было положено в Массачусетском технологическом институте (MIT), где основанная в 1999 г. группа Auto ID Center работала над технологией радиочастотной идентификации (RFID) и новыми сенсорными технологиями. Центр объединял семь НИИ, расположенных на четырех континентах, которые и разработали архитектуру будущего ИВ.

Само понятие интернет вещей возникло, согласно докладу Cisco Internet Business Solutions Group (IBSG), когда количество подключенных к интернету вещей, или объектов, превысило количество людей на планете. Это случилось примерно на рубеже 2008 и 2009 гг.: в 2003 г. на 6,3 миллиарда населения Земли приходилось около 500 миллионов подключенных к интернету устройств (0,08 на человека), а уже в 2010 г. взрывной рост мобильных ИКТ привел к изменению этого соотношения в пользу устройств: 12,5 миллиарда устройств на 6,8 миллиарда человек (1,84 на человека). Если же провести расчеты в отношении реального количества пользователей интернетом в мире (около 2 миллиардов), оно возрастает до 6,25 в 2010 г. В 2011 г. специалисты Cisco предсказывали рост количества устройств до 25 миллиардов к 2015 г. и 50 миллиардов к 2020 г.

Подсчеты Gartner несколько скромнее — 25 миллиардов к 2020 г., но сам порядок цифр не оставляет сомнений, что ИВ — реальность, меняющая привычные представления о личных и общественных отношениях, о бизнесе и экономике, а также о рисках и угрозах. Это естественный итог бурного развития и распространения ИКТ, которое выйдет на новый уровень с сокращением цифрового разрыва и освоением рынков развивающихся стран.

Эволюция ИКТ идет дальше, расширяя линейные в прошлом взаимоотношения пользователя и устройства дополнительным измерением — взаимодействием подключенных к интернету устройств, в котором пользователь является финальным бенефициаром. Иначе говоря, обмен данными между устройствами (M2M — machine to machine) для выполнения пользовательской задачи превращает интернет вещей в интернет всего, или всеобъемлющий интернет.

Во многом этот процесс является отражением тренда развития постиндустриального общества, в котором экономика знаний и медиатизация общественных отношений с повсеместным использованием ИКТ выходят на новый уровень. Новое поколение интернет-технологий, позволяющее генерировать, воспринимать, собирать, анализировать, передавать то, что получило название большие данные (big data) в массовом масштабе, с одной стороны, влияет на потребление информации и повседневный образ жизни миллионов людей, а с другой — уже определяет их представления о том, каким он должен быть в будущем (Лекция Маршалла Маклюэна «Medium is the message» 27 июня 1977 года в Австралии).

Так, еще в 70-х годах канадский философ Маршалл Маклюэн (Marshall MacLuhan) исследовал электронные медиа (телевидение и радио на тот момент) как продолжение нервной системы человека. Одно из его главных убеждений состояло в том, что средство коммуникации является сообщением (the medium is the message), то есть средство коммуникации влияет на человека и общество само по себе. С развитием отрасли ИКТ и ее повсеместным проникновением в повседневную жизнь человека в виде огромного количества гаджетов, это утверждение как никогда актуально. Но, пожалуй, его истинный смысл проявится именно в интеграции подключенных устройств в Сеть сетей, что коренным образом меняет масштаб их воздействия на общество.

В результате планомерной оцифровки экосистемы, в которой живет человек, на стыке различных областей его деятельности, образуются связи локальных сетей взаимосвязанных устройств, отвечающих за них. Так, компания IDC определяет ИВ как Сеть сетей уникально идентифицируемых терминалов (собственно вещей), которые взаимодействуют без участия человека с помощью IP сетевой связности. В эту экосистему могут входить (на настоящий момент) различные девайсы (в том числе носимые девайсы, или wearables), платформы ИВ, сервера, ПО для обеспечения безопасности, контроля промышленных процессов, ИТ услуги и т. п.

ИВ развивается в самых разных отраслях — это бытовая техника, автомобильная промышленность, медицина, одежда, транспорт, дорожная инфраструктура, городская инфраструктура, платежные инструменты, игрушки и обучающие технологии, вооружение и т. д. Потребительское лицо ИВ — это носимые девайсы (wearables), например устройства для улучшения физической формы (фитнес-девайсы) и возможностей человека, девайсы для оптимизации сознания и мыслительных процессов и прочие технологии, связанные с понятием дополненной реальности (augmented reality), где сенсорные механизмы используют данные об активности и состоянии человека для предоставления ему релевантной визуализированной информации или услуг.

По данным Gartner, около 38% американских потребителей недавно использовали виртуального ассистента на своих девайсах. Ожидается, что к концу 2016 г. примерно 2/3 потребителей в развитых странах будут пользоваться ими ежедневно. Технологии автоматизированного предсказывания потребностей потребителя, на основе предыдущего поведения и местонахождения, быстро совершенствуются и будут все более востребованы с возрастанием темпа жизни.

Система устройств умного дома, в которой каждое из них имеет свой сетевой адрес — подключенные к сети электроприборы, автомобили, слуховые аппараты, даже предметы одежды — все это результат ряда научных открытий, сделанных за последние пару десятилетий, которые породили новое качество жизни и делают то, что когда-то было областью научной фантастики, реальностью. В январе 2014 г. Google купил компанию Nest, занимающуюся производством термостатов, подключенных к интернету, за 3,2 млрд долларов США. Этот гаджет уже очень популярен в США и Канаде: он не просто автоматизирует все процессы, связанные с поддержанием оптимального климата в помещении, но и изучает привычки хозяина и подстраивается под них. Спустя полгода компания объявила о запуске интерфейса прикладного программирования, позволяющего производителям домашней бытовой и прочей техники разрабатывать продукты, совместимые с продукцией Nest. Правда, хакеры уже сообщили об уязвимости Nest и возможности взломать систему в считанные мгновения. Тем не менее, сейчас технологии умного дома разрабатывают многие компании, и это, вне сомнения, очень перспективный рынок.

НОВЫЕ ЭКОНОМИЧЕСКИЕ ГОРИЗОНТЫ

Согласно исследованию компании International Data Corporation (IDC), всемирный рынок ИВ вырастет с 655,8 млрд долларов в 2014 г. до 1,7 трлн долларов в 2020 г., с суммарным уровнем роста в 16,9%. В компании полагают, что устройства и ИТ услуги составят большую часть рынка ИВ к 2020 г. (около 2/3), причем только на устройства (модули и сенсоры) придется около 31,8% общего объема. За ближайшие пять лет платформы, специально созданные под ИВ, приложения, AAS решения, также увеличат свою долю.

Исследование Европейской комиссии, RAND Europe, оценивает экономический потенциал ИВ от 1,4 трлн долларов в год (около 1,09 трлн евро) до 14,4 трлн долларов (около 11,2 трлн евро) суммарно по секторам. Объем продаж подключенных устройств оценивается в исследовании на уровне 2,5 трлн долларов в 2020 г. При том, что рынок еще не сформирован и находится на ранних стадиях развития, за ним будущее.

Gartner ожидает, что ИВ окажет серьезное влияние на развитие новых бизнес-моделей, развитие и повышение эффективности электронного бизнеса. Недавнее исследование компании показало, что у бизнеса и ИТ специалистов особенно много ожиданий от ИВ в области производства и розничной торговли. Также многообещающе выглядит применение технологий ИВ для оптимизации процессов в области коммунальных предприятий и услуг, в промышленном секторе, автомобилестроении и секторе потребительских товаров. Особенно показателен энергетический сектор, в котором все более распространено использование сенсоров и систем автоматизированного контроля и управления технологическими процессами (АСУ ТП), применительно к счетчикам, мониторингу и управлению энергопотреблением и т. п.

Новые возможности ИВ могут преобразовать как привычные производственные процессы, отношения с потребителями продукции, так и их повседневную жизнь. Пока еще не существует массовых решений, скорее, мы видим разрозненные примеры преобразований от развития ИВ (мониторинг состояния здоровья, wearables, автоматические машины и т. п.). Большую роль играют и недоверие, и частое непонимание частным сектором того, как конкретно может выиграть тот или иной бизнес от ИВ с учетом издержек по внедрению новых технологий. Вероятно, о фундаментальных системных преобразованиях можно будет говорить тогда, когда на рынок выйдет технология, которая сможет быстро охватить его в глобальном масштабе. Это позволит образовать первое связующее звено между локальными сетями, состоящими из подключенных устройств, для выполнения определенной задачи или ряда смежных задач.

Можно с уверенностью сказать, что через 5–7 лет не останется сфер экономики и бизнеса, не затронутых технологиями ИВ. Дешевизна сенсорных технологий в будущем может сделать традиционные бизнес-решения просто неконкурентными. Скорость их развития и внедрения будет вытеснять с рынка тех игроков, которые не будут поспевать за трендом, подкрепленным потребительским спросом на лучшие товары и услуги.

Уже сейчас, и не гипотетически, можно говорить о date бизнесе и date экономике, так как экспоненциальный рост данных о пользователях, генерируемый подключенными устройствами, превратит их в новое золото, новую нефть, новую валюту XXI века. И это не просто красивые метафоры. Данные о пользователях уже стали важным драйвером развития частного бизнеса. Серьезное увеличение их объема, как и осознание их ценности самими пользователями, создаст новую парадигму управления информацией и общественных отношений в целом. Эффективный сбор, обработка и анализ больших данных будет определять успешность бизнеса.

ИВ обещает привнести больше эффективности в бизнес процессы, но вместе с ней появятся и новые серые зоны. Замена человека машинами в принятии решений находится пока еще в зачатке, но уже поднимает много вопросов этического и экономического плана, а также ставит новые задачи в области обеспечения безопасности как самого пользователя, так и его данных. Например, принтер, способный оценить уровень чернил и самостоятельно заказать покупку, доставку и установку нового картриджа, значительно упросит жизнь своего хозяина. Но это также значит, что в распоряжении устройства оказываются данные, необходимые для проведения всех данных манипуляций: это могут быть геолокационные, банковские данные, а также информация о конкретном типе устройства, которым пользуется данный человек, и опосредованно — интенсивность его использования. Автоматизация этих действий также означает передачу, сбор и, скорее всего, хранение соответствующих данных и связанные с этим риски.

ОГРАНИЧЕНИЯ НА ПУТИ РАЗВИТИЯ ИНТЕРНЕТА ВЕЩЕЙ

Скорость и успешность разворачивания технологий ИВ и их интеграция в современную социально экономическую архитектуру общества зависит от ряда факторов. Во-первых, это развертывание стандарта протокола IPv6, взамен уже практически исчерпанного первичного рынка IPv4. Технически этот переход осложняется проблемами с совместимостью протоколов, и от того, насколько быстро он будет происходить в ближайшие годы, зависит количество уникальных подключенных устройств. Так, например, 24 сентября 2015 г. американский регистр чисел в интернете (ARIN — American Registry for Internet Numbers) исчерпал первичные IPv4 адреса, теперь их можно приобрести только на вторичном рынке. Скорость перехода на IPv6 сильно различается в различных частях света, что, безусловно, будет влиять и на скорость распространения ИВ, и на единообразие формирующихся стандартов.

Другим важным аспектом успешности развития ИВ является стандартизация протоколов, позволяющих устройствам взаимодействовать между собой и с пользователем, в том числе в области обеспечения безопасности управления данными (их целостности и конфиденциальности, цельности архитектуры ИКТ). Именно выполнение этих задач выведет ИВ на новый уровень, который позволит говорить о новой парадигме развития общества. Как было отмечено выше, ИВ проникает практически во все области жизни общества одновременно, в результате чего единого стандарта в области взаимодействия ИВ между собой пока нет. Этой задачей уже занимается ряд организаций, в частности IEEE, IETF, ITU, ISO и другие, стремясь создать надлежащие механизмы бесперебойной передачи IPv6 пакетов данных по сетям различной конфигурации, сложность которой будет только увеличиваться. Но пока разработать универсальный перечень спецификаций, применимый к различным сферам использования ИВ, им не удалось.

Так, в мае 2015 г. завершила свою работу фокус-группа МСЭ по стандартизации в области ИВ — ITU T Focus Group on Smart Sustainable Cities (FG SSC), выпустив 21 доклад по спецификации ИВ. Ее мандат переходит группе ITU T SG20 (Study Group 20), которая продолжит работу по выработке единых требований к стандартам в ИВ технологиях с первичным фокусом на умные города и сообщества (SC&C). Но это лишь один сегмент огромного развивающегося рынка ИВ. При этом важно сразу отметить, что отсутствие стандартов взаимодействия устройств в экосистеме ИВ тормозит также выработку механизмов защиты этих устройств от внешних злонамеренных воздействий.

Тем не менее, есть примеры развития и распространения стандартов в отдельных отраслях, например, в области сенсорной аутентификации. С ростом количества онлайн услуг и подключенных персональных устройств, система защиты, основанная на пароле, уже не может считаться достаточной. Биометрическая аутентификация (отпечатки пальцев, сканирование сетчатки глаза, голосовое распознавание) считается особо надежным способом верификации подлинности личности. Весной 2015 г. банк Halifax предложил использовать технологию аутентификации клиента в онлайн банкинге по его электрокардиограмме, которая уникальна и, по определению, не может быть подделана.

Так, отраслевой альянс FIDO (Fast Identity Online), с 2012 г. объединивший более 100 компаний членов (среди них MasterCard, Visa, Google, PayPal, Bank of America, а с октября 2015 г. и Федеральное ведомство по информационной безопасности ФРГ), разрабатывает спецификации, обещающие повысить безопасность онлайн коммуникаций с использованием биометрических технологий и многофакторной аутентификации (MFA). Например, компания Apple уже давно использует сканирование отпечатков пальцев для смартфонов, в том числе для платежной функции Apple Pay. Microsoft вступила в альянс в феврале 2015 г., анонсировав намерение использовать технологии FIDO для новой версии своей операционной системы Windows 10. Таким образом, частный альянс работает над разработкой стандартов аутентификации пользователя электронных устройств (Universal Authentication Framework (UAF) и Universal Second Factor (U2F)), которые, с учетом размера бизнеса участвующих компаний, имеют все шансы со временем получить глобальное применение, а возможно, и монопольную позицию.

Наконец, бесперебойное энергообеспечение огромного количества электронных устройств представляет вызов глобального масштаба. Потребуются новые решения для генерации энергии, мощные сервера и сети питания, а также технологии их защиты.

Пока же мы наблюдаем цикл становления, масштабирования новой технологической парадигмы. Можно предположить, что поворотным моментом в ее начале был iPhone, который произвел революцию на рынке мобильных телефонов. Это та самая деструктивная инновация (destructive innovation) в терминологии Клейтона Кристенсена (Clayton Christensen), которая выводит отрасль на новую ступень развития, одновременно нанося удар по успешным состоявшимся бизнесам с налаженными отношениями с пользователями. Ориентация на конечного пользователя и его удобство оказалась главным критерием на новом витке развития применительно к ИКТ технологиям. Распространение доступа в интернет позволяет расширять экосистему подключенных устройств. Как уже было упомянуто выше, вероятно, можно ожидать следующий качественный деструктивный скачок, когда стандартизация взаимодействия этих устройств между собой позволит ИВ заговорить на одном языке, тем самым повысив синергию от их совместимости. Именно к этому постепенно движется мир, и именно этот масштаб обещает новое качество жизни, как и массу новых угроз ее безопасности.

ЧЕМ МЫ РИСКУЕМ?

С невероятными возможностями, открывающимися в экосистеме объединенных сетью устройств, открываются и риски, способные серьезно подорвать устойчивость связанного с ней социально экономического прогресса. О чем мы говорим, и насколько они реальны?

Кибербезопасность всего?

С ростом количества вещей, подключенных к Всемирной сети, растет и спектр потенциально взламываемых устройств. Это естественная и неизбежная оборотная сторона развития цифрового общества, в ходе которого меры защиты не поспевают за технологическими инновациями. Таким образом, заимствуя жаргон «Лаборатории Касперского», необходимо готовиться к тому, что с ростом интернета вещей будет расти и возможность интернет-угроз (Internet of Threats). И масштаб этих угроз прямо пропорционален масштабу цифрового прогресса. По данным страховой компании Lloyds, убытки коммерческих компаний в результате кибератак оцениваются в 400 млн долларов в год, включая сам ущерб и потери от нарушения нормального течения бизнеса, причем около 90% страховых продуктов покупают американские фирмы.

Прежде всего, само появление все большего количества подключенных устройств означает, что атрибуция сетевых атак на любые такие устройства усложнится, так как увеличится и количество хабов, через которые может проходить, например, анонимизированная DDoS атака. Таким образом, в разы увеличивается вероятность того, что именно ваш девайс может стать соучастником атаки, причем без ведома хозяина.

В июле 2015 г. мир облетел репортаж Wired, в котором два хакера на практике продемонстрировали последствия возможной эксплуатации обнаруженной ими уязвимости нулевого дня (zero day exploit) и манипуляции системой управления автомобиля Jeep Cherokee (Chrysler) при подключении по интернету к его мультимедийной системе. В ходе эксперимента журналист, передвигавшийся на скорости 70 миль в час, наблюдал, как хакеры дистанционно управляли кондиционером, радио, дворниками, а затем и отключили сцепление, лишив водителя тем самым возможности контролировать автомобиль.

Это не первый подобный, но очень показательный случай. Он в очередной раз продемонстрировал изнаночную сторону оцифровки повседневной жизни, особенно в ситуации, когда жизненно важно удерживать контроль над устройством, подключенным к интернету. Цифровой интерфейс различных приборов и систем значительно упрощает их управляемость для пользователя, но при этом и ослабляет их защиту, открывая дверь для кибервторжений. Это утечка и искажение данных пользователей, включая персональные, кража финансовых средств, саботаж функционирования объектов промышленной инфраструктуры и т. п. Наконец, для кибершпионажа открываются самые широкие возможности. Объем, топология и гранулярность данных, доступных онлайн, открывают новые горизонты не только для повышения удобства повседневной жизни человека, но и для нанесения возможного ущерба, связанного с их утечкой.

Чем глубже ИВ внедряется в социально-экономическую систему, объединяя все больше важнейших элементов инфраструктуры Сети, тем серьезнее последствия от их хакерской атаки. Взлом устройств ИВ, как элементов связной системы функционирования цифрового общества, грозит теми же неприятностями, что и нынешний взлом отдельно взятых устройств, только в несравнимо больших объемах. Так, город, оснащенный умными системами электроснабжения, экономит огромные средства на оптимизации энергопотоков, но при этом представляет собой уязвимую цель для хакеров с потенциально катастрофическими последствиями одного инцидента для всей городской энергосистемы.

Достаточно вспомнить инцидент на северо-востоке США и Канады, оставивший без электричества около 40 миллионов человек в Штатах и около 10 миллионов в Канаде, а также приведший к закрытию международных аэропортов обеих стран в пострадавшем регионе. Как выяснилось, к аварии привела программная ошибка в системе оповещения электроэнергетической корпорации FirstEnergy в штате Огайо: она не позволила операторам вовремя отреагировать на короткое замыкание, возникшее при провисании перегретых проводов и соприкосновении с деревьями. Своевременное купирование проблемы не довело бы ее до такого масштаба. Можно себе представить подобные сценарии при злонамеренном воздействии на систему оповещения или другие элементы smart grid. К слову, именно по этой причине, системы управления некоторых объектов критической инфраструктуры в различных странах (например, АЭС) намеренно оставляются аналоговыми.

Взаимозависимость систем грозит каскадным эффектом и серьезными последствиями, включая человеческие жертвы. В апреле 2015 г. Счетная палата США выпустила отчет, в котором констатируется, что подключение к интернету и возросшая киберзависимость самолетов от систем наземного обеспечения «потенциально может предоставлять несанкционированный доступ к авиационному оборудованию самолетов». Эти новые взаимоподключенные системы проходят отдельную сертификацию Федерального агентства гражданской авиации для отдельных моделей самолетов, и планируется пересмотреть регламент кибербезопасности для всех авиационных систем.

Есть попытки и автопроизводителей начать договариваться о стандартизации производства, исходя из принципа safety by design, то есть с учетом киберрисков бортовых систем на уровне проектирования.

Таким образом, в любых оценках перспектив рынка ИВ в будущем, уже сейчас стоит делать скидку на возможные инциденты с многомиллиардными потерями. И они неизбежны, поскольку средства защиты от нежелательного кибервторжения, по определению, разрабатываются с некоторым запозданием относительно выхода продукта на рынок. В настоящее время, в момент формирования рынка игроки стараются занять как можно большую его долю, и все, что тормозит технологический процесс разработки самого привлекательного для потребителя решения, в том числе из-за соображений безопасности, остается на периферии. В будущем, когда проблемы защиты пользователя и его данных в контексте ИВ станут еще более очевидными, рынок продуктов информационной безопасности, применительно к ИВ, станет мощной точкой роста и конкуренции разработчиков таких решений.

Этическая сторона медали: конфиденциальность

Рассуждая о будущем ИВ в глобальном и локальном масштабе, и особенно в контексте безопасности, стоит помнить, что ИВ еще больше трансформирует понятие конфиденциальности (privacy) в Сети. Дебаты вокруг права на частную жизнь, закрепленного рядом инструментов международного права (Статья 12 Всеобщей декларации прав человека ООН, Статья 8 Европейской конвенции по правам человека, Статья 17 Международного пакта о гражданских и политических правах) вышли на качественно новый уровень после разоблачений массовой электронной слежки АНБ США летом 2013 г. Это стало возможным, в том числе благодаря потенциалу технологических компаний, строящих свой бизнес на адресной рекламе на основе информации о деятельности и предпочтениях пользователя. Персональные и коммуникационные данные сегодня все больше дополняются геолокационными, биометрическими и прочими показателями человеческой активности, позволяющими составить все более гранулярный портрет отдельно взятого человека со всеми подробностями его жизнедеятельности. А это открывает бескрайние горизонты для рекламодателей — как и для прочих акторов, желающих получить максимально подробную информацию о конкретном человеке (или группе людей) для легитимных или нелегитимных целей.

Таким образом, развитие ИВ радикально масштабирует проблему приватности, причем отношение к ней, как и подходы к ее разрешению, будут варьироваться в зависимости от толерантности того или иного сообщества к массовому сбору данных. Можно предположить, что в США развитие ИВ будет происходить быстрее, чем в ЕС, в силу исторически более либерального подхода к защите персональных данных граждан и отсутствия единого регуляторного инструмента. Об этом свидетельствует и недавний новый виток в истории с гармонизацией торговых отношений США и ЕС и связанной с ними транснациональной передачей данных граждан. Более того, сами границы публичного и приватного в онлайн пространстве неизбежно все больше размываются с ростом объема генерируемых, обрабатываемых и передаваемых данных пользователей, а имеющиеся инструменты не вполне отражают это обстоятельство.

Однако, даже в обществах с относительно высокой толерантностью к публичной доступности данных онлайн пользователей, неизбежно осознание того, что пользовательское соглашение не вполне справедливо. Насколько адекватна цена, которую пользователи платят за бесплатные услуги веб-поиска, почтовые и прочие онлайн сервисы, а также ИВ технологии, собственными данными, используемыми в коммерческих целях?

Как уже было сказано, масштаб такого симбиоза будет только расти, как и риски, связанные с утечкой или искажением этих данных. Сама же бизнес-модель будет развиваться по мере того, как все больше подключенных устройств в сети ИВ будут превращаться в платформы по генерации данных. Речь идет об анонимизированных и агрегированных данных, но при желании персонализация восстанавливается достаточно просто при сопоставлении различных категорий данных. К тому же, немаловажен тот факт, что по мере проникновения ИВ технологий в базовую инфраструктуру общественной жизни (ЖКХ, медицинские услуги, транспорт и т. п.) все сложнее будет отказаться от их использования. У пользователя по-прежнему есть право отрегулировать настройки приватности, с неизбежной потерей, конечно, и в спектре доступных услуг. Или отказаться от пользовательского соглашения.

Одним из ярких примеров этой тенденции является растущая популярность виртуальных ассистентов. Siri компании Apple дебютировала в 2010 г., предоставив пользователям функции поиска информации, написания SMS, совершения звонков, а также назначения встреч, оформления покупок и т. п. по голосовой команде. С тех пор с аналогичными продуктами на рынок вышли Google (Google Now), Microsoft (Cortana), Facebook (M) и даже китайский Baidu (Duer). Со временем конвергенция различных мобильных сервисов приведет к тому, что набор выполняемых секретарями функций будет расти, а поиск информации будет происходить с учетом того, что ассистент знает о своем хозяине.

По данным Gartner, около 38% американских пользователей недавно пользовались виртуальными помощниками на своих устройствах, а к концу 2016 г. около 2/3 потребителей на развитых рынках будут прибегать к их услугам ежедневно. По мере совершенствования анализа больших данных, распознавания голоса, технологий искусственного интеллекта их эффективность будет расти. А с увеличением объемов обрабатываемой информации пользователь естественным образом доверит часть работы эффективному электронному помощнику. Только важно учитывать, что самостоятельность виртуальных ассистентов в принятии решений в сочетании с доступом к данным различных мобильных приложений на телефоне хозяина создает потенциально проблемную ситуацию централизации контроля над всем разнообразием его данных. А любая централизация повышает уязвимость системы. Так, например, продолжающееся обсуждение Windows 10 и агрессивной политики ОС по сбору данных о пользователе в частности затронуло и Cortana, которая, по имеющимся данным относительно работы алгоритмов, отправляет некоторые из собранных данных на серверы компании, даже если пользователь отказывается от услуг сервиса.

Некоторые умные телевизоры Samsung уже оснащены технологиями распознавания голоса. Безусловно, микрофон можно выключить, но сама возможность включить его без ведома хозяина, дистанционно, подрывает уверенность в том, что пользователь контролирует приватность в собственном доме.

В этом контексте пользователь вполне вправе потребовать пересмотреть эту сделку и разработать более прозрачный отчет коммуникационных компаний о передаче данных третьим сторонам, то есть коммерческим партнерам, которые в пользовательском соглашении обычно обозначаются как доверенные стороны. Это обстоятельство имеет отношение и к честной конкуренции, и к равному доступу к услугам различных третьих сторон. У виртуальных ассистентов, конечно, будет возможность отдать предпочтение именно доверенным партнерам среди прочих игроков на рынке: например, предложить пользователю использовать приложение Uber вместо Gett для вызова такси. Сам пользователь, конечно, пока принимает финальное решение и может выбрать те компании, которым доверяет больше. Но с ускорением темпа повседневной жизни вполне реальна ситуация, когда такие банальные решения будет принимать именно ассистент.

Важно понимать, что речь идет не только о философском вопросе баланса конфиденциальности и удобства, а о комфорте пользователя в ситуации раскрытия информации о себе внешнему миру без полного контроля над тем, куда она направляется, кем и как может быть использована — причем не только сегодня, но и завтра, и послезавтра. Например, несанкционированный или неполностью контролируемый доступ к медицинским данным о состоянии отдельно взятого человека, генерируемым через носимые устройства, сенсорную одежду, спортивные гаджеты и т. п., не говоря уже об информации, хранимой в файлах на ПК, смартфоне или в переписке, чреват злоупотреблениями, например, страховыми компаниями, работодателями — настоящими или потенциальными, партнерами по работе и т. п. В прошлом году в Великобритании обсуждалась возможность легализации продаж баз данных о пациентах национальной системы здравоохранения (NHS) фармацевтическим и страховым компаниям — их идентификационные номера, даты рождения, пол, этническая принадлежность, почтовый индекс проживания — для улучшения качества предоставляемого сервиса. Мера так и не была пока реализована, но даже сейчас утечки таких баз данных происходят рутинно, а увеличение количества различных пользовательских приложений, использующих эти данные, лишь увеличивает их уязвимость. К тому же неизбежны хакерские взломы и утечки.

Итак, в ситуации, когда пользовательские данные все чаще воспринимаются как нефть XXI века и новая валюта, очевидно как никогда, что если предлагаемый вам товар бесплатный, то настоящий товар — вы. Поэтому все больше компаний — производителей умных устройств, пополняющих экосистему ИВ, должны будут выстраивать отношения доверия с пользователями, максимально прозрачно и подробно отчитываясь о своей политике использования получаемых данных для целей собственного бизнеса и в партнерствах с третьими сторонами. Ответственность и скрупулезность в этой области станет лицом брендов, а эффективность обеспечения безопасности данных — важным элементом в конкуренции. Вполне возможно, что со временем будут разработаны новые лучшие отраслевые практики в этой области в порядке саморегулирования, а также национальные и региональные законодательные инициативы, стандартизирующие их.

Например, сегодня все больше технологических компаний выпускают так называемые отчеты о прозрачности (Transparency Reports). Эту практику начала компания Google в 2010 г. После выхода с китайского рынка, корпорация стала выпускать статистику запросов различных государств о данных пользователей, а также информацию о блокировке контента. В 2013 г. разоблачения Э. Сноудена об использовании компаний интернет сектора спецслужбами для слежки дали новый импульс развитию этого продукта, который на тот момент выпускало менее 10 компаний. Необходимость заверить пользователя в добросовестности и прозрачности своей деятельности привела к тому, что все больше компаний стали выпускать такие отчеты, причем следуя во многом формату, начатому Google. Тогда как спектр компаний, в которые, судя по всему, будут направляться запросы правоохранительных и специальных служб, несомненно, растет, как и объем и разнообразие доступной информации о пользователях, сам отчет мог бы включать и данные о взаимодействии с теми доверенными третьими сторонами, то есть коммерческими партнерами. Сейчас компании, как правило, не уточняют, какая именно информация у них запрашивается. Но с ростом объемов и гранулярности этой информации перед компаниями неизбежно встанет вопрос, как оптимизировать, с учетом этих факторов, практику отчетности и перед правоохранительными органами, и перед пользователями.

Также перспективным направлением могло бы быть использование открытых данных, платформ и стандартов, что позволило бы уйти от вопроса балансирования бизнес-выгоды и конфиденциальности.

Кто виноват?

Очень важный вопрос, ответ на который не очевиден: кто (или что) несет ответственность за инцидент и его последствия с участием умных устройств? Если устройство обладает элементами искусственного интеллекта и самостоятельно принимает решения, отвечает ли оно и за последствия? Независимые от человека М2М коммуникации в результате делегирования действий и принятия решений устройствами в некотором роде стирают грани между актором и его инструментом. Кто или что именно является актором — человек, делегирующий принятие решения о замене запчасти самой машине, или сама машина, передавшая детали его банковского счета для оплаты запчасти неблагонадежному магазину? Ответ на этот вопрос, вероятно, особенно интересен страховым компаниям.

Более того, проблема передачи и использования данных пользователей девайсами, которые их собирают или генерируют, третьим сторонам, описанная выше, встанет особенно остро с ростом взаимодействия устройств между собой и мгновенной обработки и обменом этими данными. Каким именно устройствам они принадлежат, и какое из устройств отвечает за их целостность и сохранность?

ПРАВИЛА ИГРЫ

На данный момент вопросов гораздо больше, чем ответов, так как регуляторный корпус для устранения имеющихся рисков не сформирован. Некоторые страны, как, например, США и Южная Корея, намеренно занимают позицию регуляторного невмешательства, пока идет борьба за рыночные позиции в области ИВ и неясно, куда пойдет технологическое и экономико деловое развитие в этой области. Это признается и в докладе МСЭ (июнь 2015 г.) по вопросам регулирования ИВ. Существует масса разрозненных исследований и региональных попыток канализировать развитие ИВ и, хотя бы точнее, определить потенциальные вызовы. Проблема в том, что, как и во всей отрасли ИТ, регуляторные усилия слишком сильно отстают от практически разрабатываемых и внедряемых продуктов. Иногда предпринимаются противоречащие друг другу шаги: например, в марте 2015 г. в Брюсселе на организованной Еврокомиссией конференции технологические компании обсуждали необходимость снятия преград для развития ИВ в Европе, особенно с учетом высочайшей конкуренции со стороны США и Китая. Высокий уровень проникновения интернета в ЕС и программа создания единого цифрового рынка (Digital Single Market) создает для этого благоприятные условия. При этом описанные выше противоречия, связанные с защитой данных граждан при их трансграничной передаче, явно будут тормозить этот процесс.

США инвестируют огромные средства в развитие ИВ, но общее отставание в области проникновения широкополосного доступа в интернет, его низкая скорость и дороговизна замедляют процесс. При этом Федеральная торговая комиссия США (FTC) рекомендовала федеральному правительству пока воздержаться от прямых мер регулирования ИВ, видимо для обеспечения максимального технологического развития без ограничений. Тем не менее существующие риски принимаются во внимание различными ведомствами: например, Федеральное бюро расследований выпустило руководство по рискам с точки зрения киберпреступности, возникающим с распространением ИВ. Как уже отмечалось выше, отсутствие единой глобальной стандартизации протоколов ИВ тормозит развитие всей отрасли. Тем не менее, частный сектор возлагает большие надежды на ИВ: так, компания IBM объявила весной 2015 г. о планах вложить 3 млрд долларов США в новое отделение, которое занимается ИВ. Также понимание проблемы стандартизации стимулирует частные компании договариваться о сотрудничестве для оптимизации своих бизнес процессов.

Так, в 2014 г. несколько крупных технологических и интернет-компаний — IBM, Cisco, General Electric, Intel, AT&T — объединились в промышленный интернет-консорциум для создания инженерных стандартов для промышленных ИВ устройств (Industrial Internet Consortium), обмена лучшими практиками, тестирования новых продуктов, а также исследований в области безопасности новых технологий. В настоящее время в группу входят крупные и малые предприятия, исследовательские институты и университеты, государственные организации. В консорциуме есть отдельная рабочая группа по безопасности (Security Working Group), которая вырабатывает рекомендации по вопросам кибербезопасности и конфиденциальности для разработок исследовательских стендов и лабораторий группы, исходя из необходимости их включения на ранних стадиях функциональных решений.

Крупнейшим игроком на рынке ИВ выступает Китай, чьи инвестиции в этот сектор превышают и европейские, и американские. По данным RAND Europe, в 2012 г. было выделено около 625 млн долларов США на развитие ИВ технологий, а Министерство информации и технологий создало фонд объемом 775 млн долларов США на последующие пять лет для создания технопарков по всей стране. В 2013 г. в Китае был создан межведомственный совет для координации государственной политики и инициатив в области ИВ. С помощью этого совета в 2013 г. были выпущены директива и рабочий план по развитию ИВ, определяющий цели в области разработок, стандартизации, применения и внедрения продуктов, бизнес- моделирования, регулирования и обучения.

Однако объем китайского рынка пока опережает его потребительскую зрелость. Огромным потенциалом обладает и весь Азиатско-Тихоокеанский регион в целом, где по соотношению подключенных устройств на душу населения самыми зрелыми являются рынки Австралии, Новой Зеландии и Южной Кореи. Так, по оценкам исследовательской компании IDC, рынок ИВ в регионе, за исключением Японии, вырастет с 250 млрд долларов США в 2013 г. до 583 млрд долларов США в 2020 г. При этом количество подключенных устройств на азиатско-тихоокеанском рынке в целом вырастет с 2,59 млрд в 2013 г. до 8,98 млрд в 2020 г. Тем не менее, на рынке, который находится на начальной стадии своего формирования, производители умных устройств мало мотивированы заранее просчитывать угрозы безопасности, которые неизбежно увеличивают стоимость производства и реализации. Но крупные компании, работающие в регионе, такие как Cisco Systems, Fortinet, Check Point, понимают неизбежность обращения к этим вопросам уже сейчас, чтобы разработка продуктов шла с учетом требований сертификации и прочих регуляторных установок. Пока в этой области нет четкого регламента.

В России рынок потребительского ИВ в основном формируется иностранными игроками — производителями гаджетов. При этом, с учетом тренда к импортозамещению, очевидно, что более пристальное внимание будет уделяться отечественным разработкам. С учетом высокого уровня проникновения широкополосного интернета в стране, перспективы динамичного развития ИВ достаточно оптимистичны. Неудивительно, что одним из пионеров в области ИВ, особенно промышленного, выступает Ростелеком, крупнейший телеком-оператор страны. Причем в своем желании начать структурировать рынок промышленного ИВ компания как раз планирует перенять опыт упомянутого выше Industrial Internet Consortium, в который она вступила для того, чтобы иметь возможность перенять опыт совместной работы над кейсами, исследованиями, стандартизацией с крупнейшими мировыми корпорациями на российском рынке. В ближайших планах создать отечественный аналог — Ассоциацию содействия развитию промышленного интернета в России, которая должна заработать в 2016 г. Возможности роста для различных отраслей промышленности и их интеграции на огромном экономическом пространстве России сулят большие экономические выгоды от масштаба, поэтому в компании ожидают, что в Ассоциацию прежде всего придут промышленные производства, а за ними и поставщики собственно технологических решений и экспертные группы. Так, например, есть первые договоренности с АО «Российские космические системы» (РКС) по перспективам космического приборостроения.

Эти усилия, на данный момент предпринимаемые одной компанией, видятся недостаточными ввиду объема российского рынка и, тем не менее, очень важными и своевременными. ИВ, и в частности промышленный ИВ, — это одна из тех областей мирового развития, в которой прямо сейчас пишутся правила игры и распределяются роли. У России есть возможность не упустить этот виток прогресса и встроиться со своими решениями хотя бы по ряду самых перспективных отраслей промышленности — локальными, а, возможно, и глобальными — до того, как мировые лидеры окончательно перехватят инициативу. Это может быть оборонная промышленность, финансовый сектор, транспорт и т. д. Кризисный момент в мировой экономике, как и общий тренд на импортозамещение, создают в целом достаточно комфортную конъюнктуру для такого рывка. Однако, несмотря на то, что регуляторных инструментов, направленных именно на ИВ, в стране пока нет, большое внимание, оказываемое в настоящий момент проблематике защиты персональных данных граждан (в частности вступивший в силу 1 сентября 2015 г. закон 242 ФЗ, обязывающий операторов персональных данных граждан РФ хранить их на территории РФ), окажет влияние на экосистему развития ИВ решений, особенно с точки зрения безопасности.

В целом также следует отметить, что вопросы безопасности в ходе развития промышленного сектора ИВ будут неизбежно обсуждаться в контексте международного сотрудничества по ответственному поведению стран в киберпространстве. Так, например, в числе добровольных норм поведения, согласованных Группой правительственных экспертов ООН летом 2015 г., значится принцип ненападения на объекты критической инфраструктуры друг друга и невнедрения зловредного программного функционала в ИТ продукты. Также был согласован целый блок мер укрепления доверия, включающий в себя обмен информацией об имеющихся уязвимостях и рисках, взаимодействие оперативных групп реагирования CERT/CSIRT на объектах и т. п. При условии, что согласованные меры заработают в полную силу, развитие промышленного ИВ в различных странах могло бы происходить в контексте обеспечения кибербезопасности на самом высоком уровне. Впрочем, несмотря на обозначившийся тренд в выстраивании международных правил поведения государств в киберпространстве на самом высоком уровне, степень доверия в глобальном масштабе недостаточно высока, чтоб обеспечить их полноценное соблюдение.

На более низком уровне пользовательских устройств одним из очень серьезных рисков является продолжающиеся дебаты о необходимости ослабления конечного шифрования данных (end to end encryption) коммуникационных продуктов для выполнения оперативно розыскных мероприятий. На данный момент эта возможность обсуждается в США и Великобритании, но если решение будет принято, такой же доступ к данным потребуют правительства и прочих стран мира. Эксперты утверждают, что эффективное шифрование передачи данных не может быть половинчатым — либо оно безопасно для всех, включая криминальных акторов, либо небезопасно для всех. Публичные обсуждения продолжаются, и от их исхода во многом зависит и уровень пользовательского доверия к новым продуктам ИВ. Впрочем, в сообществах с высоким уровнем доверия к государству, как гаранту безопасности страны, общества и индивида, проблема может и не появиться на повестке дня.

ЗАКЛЮЧЕНИЕ

Интернет вещей находится на очень интересном этапе развития: уже осознан, хотя, возможно, и не до конца, его социально экономический потенциал в самых различных сферах жизни миллионов людей. Признана и необходимость занять лидирующие позиции на рынке в процессе его формирования и выиграть конкуренцию до того, как она проявится в полной мере. Наконец, регуляторные рамки только начали появляться и остаются еще относительно гибкими, оставляя большое поле для творчества и борьбы за рыночную долю.

При этом очевидно, что в вопросах безопасности риски, которые уже обозначились, с одной стороны, являются определенным фактором сдерживания развития, а с другой — открывают нишу для конкуренции в бизнесе. Но лидеры рынка ИВ в своем большинстве понимают необходимость учета фактора безопасности на самых ранних этапах разработок, даже до выработки единых стандартов в области взаимодействия устройств или в области обеспечения кибер и информационной безопасности устройств и самого пользователя.

Как отмечалось, можно ожидать, что продолжатся параллельные попытки регламентации в разных областях ИВ как изнутри, со стороны собственно разработчиков, так и со стороны государственных ведомств, но, как правило, с отставанием. Успех в выстраивании баланса между курсом на технологическое первенство и обеспечением безопасности будет, судя по всему, зависеть от ожидаемого социально-экономического эффекта от ИВ в конкретном обществе/рынке и ожиданиях этого общества по обеспечению блока вопросов безопасности. Он также зависит от желания и возможности специалистов различных отраслей промышленности, бизнес-лидеров, IT разработчиков с одной стороны и специалистов в области кибер и информационной безопасности с другой договариваться о совместных технологических решениях. Любые регуляторные решения должны способствовать выстраиванию этого диалога. От результата и зависит, превратится ли интернет вещей в интернет угроз.

Перепечатка материала, опубликованного в Журнале Индекс Безопасности, №3 (114), Осень 2015 г. ПИР-Центр

Об авторе

Александра Куликова

Менеджер по взаимодействию с партнерами в Восточной Европе и Центральной Азии корпорации ICANN. Имеет степень магистра в области управления медиа и коммуникациями Лондонской школы экономики.

Написать ответ

Send this to a friend

Перейти к верхней панели