Кочурин Р.Е., Копышева Т.Н.
ИНТЕРНЕТ ВЕЩЕЙ: УЯЗВИМОСТИ И СТАНДАРТЫ БЕЗОПАСНОСТИ *
Аннотация:
в статье рассматриваются ключевые уязвимости экосистемы интернета вещей, связанные с аппаратными ограничениями, протоколами связи и ошибками проектирования. Подчёркивается значение международных стандартов, формирующих единые требования к защите данных и устойчивости устройств. Показывается, что внедрение регламентов позволяет снизить риски в бытовых и промышленных сценариях.
Ключевые слова:
интернет вещей, безопасность, уязвимости, стандарты, протоколы, защита данных
Интернет вещей давно перестал быть технологической новинкой и превратился в фундамент современной цифровой среды. Под управлением сетей оказываются бытовые приборы, транспорт, медицинские системы, промышленное оборудование, городская инфраструктура. Миллиарды устройств постоянно обмениваются данными, и эта невидимая циркуляция формирует преимущества, о которых ранее приходилось лишь догадываться. Однако масштаб подключений создаёт и новую поверхность для атак. Вследствие этого возрастает необходимость анализа уязвимостей и пересмотра практик безопасности, чтобы быстро растущая экосистема не превращалась в источник постоянных рисков.[1]Первая и наиболее распространённая проблема связана с ограниченными ресурсами устройств. Значительная часть оборудования создаётся под задачу минимизации энергопотребления и себестоимости, из-за чего на уровне аппаратуры не закладывается возможность реализации сложных криптографических алгоритмов. Отсутствие достаточной вычислительной мощности приводит к использованию слабых методов шифрования или полному отказу от них. Такие решения удобны для производителей, стремящихся ускорить вывод продукта на рынок, но становятся причиной уязвимости каналов связи и хранимых данных. [4]Следующий слой угроз связан с протоколами передачи данных. Для интернета вещей характерно многообразие стандартов: MQTT, CoAP, Zigbee, Z-Wave, BLE и множество проприетарных решений. Таблица 1. Сравнение стандартов используемых в IoT-вещей.Разработчики стремятся повышать скорость обмена и снижать энергозатраты, а вопросы безопасности нередко остаются второстепенными. В результате коммуникационные протоколы могут не включать встроенную аутентификацию, контроль целостности сообщений или защиту от повторной отправки пакетов. Подобные недочёты формируют благодатную почву для атак «человек посередине», подмены команд и перехвата данных. [4]Немалую угрозу несут и ошибки проектирования прошивок. В прошивках встречаются незакрытые порты, небезопасные сервисы, предустановленные учётные записи с заводскими паролями. Бытовые устройства часто используют одну и ту же конфигурацию по умолчанию, и после покупки большинство пользователей не меняют параметры безопасности. Хакеры активно эксплуатируют такие особенности: автоматические сканеры быстро находят устройства с типовыми комбинациями логинов и паролей, добавляя их в ботнеты или применяя в целенаправленных атаках. [8]Важной проблемой остаётся отсутствие грамотного управления жизненным циклом устройств. При создании гаджетов производители редко закладывают длительную поддержку, ограничиваясь единичными патчами. После нескольких лет эксплуатации многие устройства продолжают передавать данные, но уже не получают обновлений. Они сохраняют уязвимости, которые со временем становятся общедоступными, что делает устаревшее оборудование удобной точкой входа в сеть. Особенно остро это ощущается в промышленности, где срок службы техники измеряется десятилетиями.Уязвимости затрагивают и облачные платформы, обслуживающие интернет вещей. Центральные серверы хранят массивы данных и координируют работу устройств. Если инфраструктура построена без должного уровня защиты, атакующий получает не только доступ к информации, но и возможность удалённого управления устройствами. Компрометация облака способна вызвать сбой функций целых систем: от «умного» дома до городской сети датчиков.Параллельно возрастает риск вторжения в частную жизнь. Умные камеры, микрофоны, бытовые помощники фиксируют ежедневную активность, а интеллектуальные счётчики мониторят потребление ресурсов. В случае взлома злоумышленник получает картину поведения владельца: время отсутствия дома, распорядок дня, сведения о состоянии здоровья. Такие данные могут использоваться не только для краж и шантажа, но и для более изощрённых схем социальной инженерии.Обострение ситуации побудило международные организации к разработке стандартов. Одним из ключевых стал ISO/IEC 27030 [6], задающий системный подход к безопасности интернета вещей: требования к аутентификации, обновлениям, мониторингу и обработке данных. Стандарт предлагает учитывать безопасность с ранних этапов разработки, а не добавлять её в конце производственного цикла. Подобная практика уже стала ориентиром для крупных производителей оборудования. Дополняет его семейство стандартов ETSI EN 303 645 [7]. Документ сосредоточен на потребительских устройствах и формирует перечень базовых правил, которые должны соблюдаться всеми производителями. Среди них обязательное удаление стандартных паролей, безопасный процесс обновлений, минимизация количества открытых интерфейсов и прозрачность политики обработки данных. Выполнение этих требований обеспечивает базовый уровень защиты даже для недорогих устройств, которые традиционно считались наиболее уязвимыми. В промышленном секторе значительное влияние оказывает стандарт ISA/IEC 62443. Он ориентирован на системы автоматизации и управления и подчёркивает необходимость сегментации сети, строгой аутентификации и многоуровневого контроля доступа. Промышленные объекты становятся целью атак из-за высокой стоимости простоев и потенциального ущерба для инфраструктуры. Установленные нормами подходы позволяют снизить вероятность проникновения в критически важные узлы и ограничить последствия возможного инцидента.Особое место занимает практика безопасного обновления прошивок. Стандарты подчёркивают необходимость применения цифровых подписей, защищённых каналов распространения и возможности отката при ошибке обновления. Такая схема исключает внедрение вредоносных модификаций и обеспечивает устойчивость оборудования. В итоге возрастает доверие к производителю и расширяются возможности для долгосрочной эксплуатации устройств.В последние годы масштабное распространение получил подход security by design. Он предполагает учёт угроз уже на этапе концепции продукта. Разработчики проводят моделирование атак, оценивают поверхность уязвимостей, определяют критические узлы системы и заранее внедряют защитные механизмы. Такой метод позволяет предотвратить ошибки, которые трудно устранить после выпуска устройства. Распространение подхода становится важным шагом к формированию зрелой культуры безопасности.Заметно усиливается внимание к тестированию. Производители всё чаще используют автоматизированные инструменты анализа трафика, статического и динамического тестирования кода, а также проводят имитацию атак. Участие независимых лабораторий повышает прозрачность процессов и позволяет формировать доверие к продуктам. Регулярная проверка помогает обнаруживать проблемы до появления реальных атак, что особенно значимо в условиях быстрого распространения уязвимостей.Отдельного внимания заслуживают документы, формирующие нормативную базу в российской практике. В последние годы значимую роль получила серия стандартов, относящихся к РБПО - рекомендации по обеспечению безопасности объектов информатизации. Эти документы задают единые требования к защите информации, методам контроля, процедурам разработки и эксплуатации систем, в том числе содержащих IoT-компоненты. РБПО описывает подходы к классификации угроз, управлению рисками, созданию защищённой архитектуры и мониторингу событий безопасности. Благодаря этому появляется возможность систематизировать требования и учитывать их уже на этапе проектирования оборудования и сервисов, использующих IoT-устройства.Параллельно применяется комплекс ГОСТ-стандартов, регулирующих криптографическую защиту, сетевую безопасность и организацию процессов разработки. Наиболее востребованы ГОСТ Р 56939-2024 [1], определяющий подходы к обеспечению доверия в экосистемах интернета вещей, и ГОСТ Р 57580.1-2017 [2], описывающий требования к защите данных и управлению инцидентами. Заметную роль играет и ГОСТ Р 50922-2006 [3], устанавливающий базовые понятия в области технической защиты информации, что помогает унифицировать терминологию и принципы проектирования решений с IoT-компонентами. Эти стандарты обеспечивают единый уровень безопасности для оборудования, работающего в критических, корпоративных и потребительских средах.Применение серии стандартов РБПО и комплекса ГОСТ значительно улучшает защиту интернет-вещей (IoT) благодаря следующим аспектам:РБПО предусматривает чёткую классификацию потенциальных угроз и подходов к оценке риска. Например, в стандарте учитываются атаки типа DDoS, компрометация IoT-устройств и перехват трафика. Стандарты определяют методы управления рисками, включающие оценку вероятности наступления угроз и последствий их реализации. В частности, ГОСТ Р 57580.1-2017 [2] устанавливает процедуры мониторинга и реагирования на инциденты, что обеспечивает быстрое выявление и устранение нарушений безопасности.РБПО рекомендует внедрение многоуровневой защиты, включающей аппаратные средства, программное обеспечение и организационные мероприятия. Реализация механизмов постоянного наблюдения за состоянием информационной среды способствует раннему выявлению аномалий и предотвращению крупных инцидентов. ГОСТ Р 56939-2024 [1] вводит концепцию доверенных зон, обеспечивающих высокий уровень безопасности всей экосистемы IoT.Унификация понятий и методов позволяет разработчикам и операторам систем эффективно взаимодействовать друг с другом, повышая общий уровень защищенности.Таким образом, введение и применение нормативных документов создают условия для устойчивого развития IoT-технологий в России. Они позволяют предотвратить многие потенциальные проблемы и повысить надежность и безопасность используемых решений, обеспечивая доверие потребителей и стабильность функционирования инфраструктурных компонентов. Несмотря на множество угроз, развитие стандартов безопасности задаёт направления для формирования более защищённой экосистемы. Производителям предлагаются готовые требования и шаблоны, пользователям - гарантии корректной обработки данных, а государственным структурам - база для регуляторных инициатив. Всё это позволяет создавать более устойчивые системы, способные выдерживать современные киберугрозы без снижения удобства использования.
Номер журнала Вестник науки №12 (93) том 3
Ссылка для цитирования:
Кочурин Р.Е., Копышева Т.Н. ИНТЕРНЕТ ВЕЩЕЙ: УЯЗВИМОСТИ И СТАНДАРТЫ БЕЗОПАСНОСТИ // Вестник науки №12 (93) том 3. С. 1297 - 1306. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/27646 (дата обращения: 09.02.2026 г.)
Вестник науки © 2025. 16+