Егор Шупик предостерегает липчан от новых форм фишинга, слежки или социальной инженерии.

О правилах эксплуатации «умных устройств» липчанам рассказал эксперт компании «Региональные Системы Комплексной Безопасности», выпускник Колледжа искусственного интеллекта в машиностроительной отрасли Егор Шупик. Полезное интервью распространяет пресс-служба министерства цифрового развития и искусственного интеллекта Липецкой области.

— Сегодня мы поговорим не о далёком будущем, а о том, что уже стоит у многих на кухне, в гостиной или лежит в кармане. Это «умные» устройства. Как бы Вы объяснили, что это такое?

— Умные устройства могут подключаться к Интернету, обмениваться данными и выполнять задачи с минимальным вмешательством человека. Это и умные холодильники, и фитнес-браслеты, и колонки. Они сделали нашу жизнь удобнее, помогли автоматизировать повседневные задачи.

— Какие из этих устройств уже прочно вошли в нашу жизнь?

— Сегодня самые популярные «умные» устройства — это колонки (например, Алиса от Яндекса или Маруся от ВК), устройства для умного дома, такие как термостаты, розетки, реле, лампочки, системы безопасности. В домах можно встретить умные телевизоры, бытовые приборы, например, холодильники и стиральные машины, а в офисах — устройства для умной видеоконференцсвязи и мониторинга состояния оборудования.

— Как такие устройства защищают пользователей?

— Они могут значительно повысить уровень безопасности. Например, системы умного дома оснащены датчиками утечек воды или газа, которые не только предупреждают о проблемах, но и автоматически отключают подачу воды или газа. Умные камеры с аналитикой могут распознавать несанкционированные вторжения и мгновенно отправлять уведомления владельцам. Умные часы могут отслеживать здоровье и, в случае экстренной ситуации, отправить сигнал тревоги в службы спасения с точным местоположением. Умные колонки могут слушать происходящее вокруг и во время отсутствия хозяев сторожить квартиру.

— Насколько сегодня уязвимы простые умные устройства? Действительно ли хакеру проще взломать умную лампочку, чем ноутбук?

— Да, умные устройства могут быть уязвимы, и в некоторых случаях хакерам действительно проще взломать «умную» лампочку или термостат, чем ноутбук. Ноутбук обычно лучше защищён по умолчанию и чаще обновляется, а IoT-девайсы нередко имеют слабые дефолты / редкие патчи и небезопасные сетевые сервисы, поэтому при ошибках настройки их проще атаковать. При этом умная лампочка без прямого доступа из Интернета и без уязвимого хаба сама по себе часто не самая «вкусная» цель. Чаще ломают камеры, NVR и роутеры, потому с их помощью можно получить удалённый доступ к другим устройствам в вашей сети, доступ к видеозаписям, микрофонам.

— Допустим, злоумышленник получил доступ к умному дому. Какие самые неприятные, но реалистичные сценарии он может реализовать, кроме банального выключения света? Может ли это перейти из сферы «пакости» в область реальной опасности?

— Если злоумышленник получит доступ к умному дому, он может не только выключить свет или изменить температуру, но и открыть двери, отключить системы безопасности, изменить настройки видеонаблюдения или даже проникнуть в личные данные владельцев. В более серьёзных случаях хакер может управлять устройствами, связанными с безопасностью, такими, как системы контроля доступа. Это создаёт реальные риски для безопасности человека и его имущества.

— Как умные устройства можно использовать для новых форм фишинга, слежки или социальной инженерии?

— Например, «умные» датчики движения могут информировать мошенников о том, что владельца нет дома, «умные» видеокамеры в случае компрометации могут показать злоумышленнику прямую трансляцию вашей жизни. Вдобавок такие устройства могут собирать данные о наших привычках и поведении, предоставляя мошенникам дополнительную информацию для целевых атак, таких как фишинговые письма, построенные на основе личных данных.

— Какие три простых, но критически важных правила безопасности должен выполнить каждый, кто покупает умное устройство?

Во-первых, всегда меняйте стандартные пароли на сложные и уникальные для каждого устройства, а также для роутеров, через которые эти устройства выходят в Интернет. Во-вторых, регулярно обновляйте программное обеспечение умных устройств, чтобы защититься от уязвимостей. В-третьих, используйте двухфакторную аутентификацию там, где это возможно, чтобы создать дополнительный уровень защиты.

— Сейчас очень популярны голосовые помощники в умных колонках. Они постоянно слушают. Это многих пугает. Как найти баланс между удобством и приватностью?

— Многие устройства позволяют отключить функцию записи голосовых команд или ограничить сбор данных. Это можно сделать в настройках самого устройства, а также некоторые производители размещают на модели кнопку для физического отключения микрофона. Также необходимо регулярно проверять настройки конфиденциальности, чтобы контролировать, какие данные собираются и как они используются. Важно помнить, что отключение функций прослушивания может снизить удобство, но повысить уровень приватности.

— Не приведёт ли эта гонка — подключать к сети всё больше вещей — к тому, что для безопасной жизни всем придётся становиться сисадминами? Как простому пользователю не утонуть в настройках?

— Эволюция идёт по пути упрощения и безопасности по умолчанию. Ответственность за базовую защиту будет всё больше лежать на производителях и регулирующих органах. Задача пользователя смещается от технических настроек к осознанному выбору (покупать устройства с регулярными обновлениями прошивки) и элементарной цифровой гигиене (менять пароли по умолчанию, включать двухфакторную аутентификацию). ИИ и автоматизация возьмут на себя рутину мониторинга и ответа на простые угрозы. Роль человека — оставаться критически мыслящим «контролёром», который принимает окончательное решение, когда система запрашивает подтверждение.

— Сейчас в магазинах огромный выбор умных устройств от разных брендов, и цены очень разнятся. На что обращать внимание, чтобы не купить красивое, но опасное устройство?

— Можно свести выбор к трём шагам, которые займут несколько минут перед покупкой, но сэкономят нервы в будущем. Первое. Зайдите на сайт производителя и найдите раздел поддержки для конкретной модели. Ваша цель — увидеть, что обновления прошивки выходят хотя бы раз в полгода-год и выходили за последние месяцы. Устройство без обновлений — это цифровая мина замедленного действия. Уязвимость в его коде рано или поздно будет обнаружена и никогда не будет исправлена, сделав его слабым звеном во всей вашей домашней сети. При покупке только что вышедшего устройства, историю обновлений проверить нельзя, изучите репутацию бренда в целом. Проверьте, как долго он на рынке и как регулярно выпускает обновления для своих других, более старых моделей. Ответственный производитель переносит эту практику и на новые продукты. Также важным ориентиром будет информация о минимальном гарантированном периоде поддержки устройства обновлениями безопасности. Такую информацию производитель зачастую указывает на сайте в разделах «Безопасность» или «Поддержка». Второе. Не ограничивайтесь обзорами на функциональность («как красиво светит лампочка»). Введите в поиск запрос вида «[Название бренда] уязвимости» или «[Название модели] безопасность». Посмотрите, были ли громкие инциденты и как компания на них реагировала. Ответственные бренды дорожат своей репутацией в этой сфере. Также обратите внимание, есть ли у устройства базовые настройки приватности, например, физическая кнопка отключения микрофона или камеры. Третье. Задайте себе вопрос: действительно ли этой вещи нужен выход в интернет для своей основной функции? Умной лампочке, возможно, нужен, чтобы включаться по расписанию, когда вас нет дома. Но умному чайнику или весам? Часто их «ум» — это маркетинг, а подключение создаёт лишь дополнительную точку входа для атаки. Если устройству не критически необходим удалённый доступ из любой точки мира, рассмотрите устройства, работающие по локальным протоколам (Zigbee, Z-Wave) через свой хаб. Они могут выполнять автоматизацию и управляться из домашней сети без обязательного выхода в интернет, что значительно повышает их безопасность и приватность.

Иллюстрация: ИИ
Фото: пресс-служба министерства цифрового развития и искусственного интеллекта Липецкой области