«Умный город» не может быть умным без надежной защиты

Конференция по проблемам криптографии и информационной защиты RSA, проходящая в эти дни в Сан-Франциско, традиционно славится немалым числом «апокалиптических» докладов. И хотя большая часть опасностей, изображаемых их авторами, так и остаются чисто гипотетическими, к предупреждениям экспертов все же, несомненно, стоит прислушиваться. С очередным таким предупреждением выступил вчера Сезар Серрудо, один из руководителей компании IOActive.

Его доклад был посвящен концепции «умных городов», которая подразумевает компьютерное управление объектами городской инфраструктуры (по аналогии с «умным домом»). Еще год назад специалисты обнаружили IOActive порядка 200 000 уязвимых сенсоров, используемых в компьютерных системах управления дорожным движением в таких городах как Вашингтон, Лондон и Мельбурн. За прошедший год, по словам Серрудо, никаких изменений к лучшему не произошло, однако аналогичные системы внедряются теперь еще в 25 крупных городах, включая Нью-Йорк, Берлин и Сидней.

Сезар Серрудо отметил, что создателям этих систем «катастрофически не хватает опыта» в обеспечении безопасности своих разработок. А специалисты по кибербезопасности просто лишены доступа к ним: такие системы, во-первых, слишком дороги, а, во-вторых, доступны лишь для правительственных либо уполномоченных правительством компаний. В результате эксперты обнаруживают уязвимости лишь тогда, когда системы оказываются уже внедрены.

В частности, Серрудо отметил, что во многих системах подобного рода полный привилегированный доступ к управлению получает любой пользователь локальной сети. Таким образом, разработчики полагаются на безопасность этих сетей, не принимая собственных мер защиты. И в случае, если злоумышленник получит доступ в локальную сеть, в его руках окажутся инструменты управления городской инфраструктурой, способные повергнуть город в настоящий хаос.