Бизнес-риски Connected Cars

Источник: http://www.pcweek.ru/security/article/detail.php?ID=185982

На одной из недавних профильных конференций прозвучала мысль об отсутствии значимого влияния на бизнес взлома авто. Логика понятна - ну авто и авто, стоимость по сравнению с другими корпоративными активами незначительна, товар серийный - легко поддается замене.

Интуитивно я был не согласен с этой оценкой, и вот сейчас представляю анализ влияния на бизнес взлома авто.

Возьмем 5 ключевые секторов российской экономики - госуправление и ВПК, промышленность, АПК, финансы и транспорт.

Идентифицируем модели использования авто в разрезе каждого из них, определим угрозы и опишем итоговое влияние на бизнес.

Модели использования (use cases) корпоративного автотранспорта:

1.            Перевозка топ-менеджмента - все отрасли

2.            Перевозка секретоносителей - Госуправление, ВПК

3.            Перевозка работников - ВПК, Промышленность, АПК

4.            Поставки сырья - Промышленность, АПК

5.            Поставки готовой продукции - Промышленность, АПК

6.            Перевозка денежных средств - Финансы

7.            Оказание транспортных услуг - Транспорт

Перевозка топ-менеджмента может быть сорвана конкурентами (актуально во время конфликтного слияния или поглощения, корпоративного конфликта за важный актив), топ-менеджер может быть физически устранен (путем вмешательства в работу автомобиля или отслеживания передвижений автомобиля), автомобиль может послужить каналом утечки ценной информации (подслушка через встроенный микрофон или отслеживание передвижений автомобиля).

Перевозка секретоносителей с точки зрения информационной безопасности является частным случаем перевозки топ-менеждмента, основная проблема - автомобиль как канал утечки ценной информации.

Перевозка работников может быть использована для компрометации компании перед государственными органами, в частности регулятором в сфере промышленной безопасности (через рост показателей смертности на производстве из-за ДТП), а так же для ослабления способности компании выполнять ежедневные операции при существенных потерях среди работников.

Поставки сырья в промышленности является не только существенной статьей затрат (потери закупленного сырья негативно скажутся на операционной рентабельности бизнеса), но и необходимой предпосылкой для непрерывного функционирования производственных процессов. Непредвиденная остановка бизнес-процессов из-за нехватки сырья (например, нехватка корма для птиц или остановка доменной печи) влечет немедленные убытки и дополнительные затраты на восстановление производства. Особенно актуален риск сейчас, когда в целях снижения затрат промышленность внедряет lean подходы и минимизирует запасы сырья.

Поставки готовой продукции не только формируют доходную часть отчета о прибылях и убытках предприятия, но и предоставляют необходимую для функционирования предприятия денежную ликвидность. Приостановки поставок, недопоставки приводят к недополучению прибыли, необходимости привлекать оборотный капитал на финансовых рынках (например в кредит под 20% годовых), а в случае скоропортящихся продуктов АПК - и к невозможности дальнейшей реализации продуктов.

Перевозка денежных средств - очевидная цель для криминалитета, автомобиль может быть использован как канал утечки схем инкассации так и для выведения из строя инкассаторов во время ограбления.

Оказание транспортных услуг зависит от правильной работы всех узлов автомобиля, несанкционированное вмешательство в его работу создает бизнесу проблемы в части роста издержек и возможность недополучения дохода, штрафных санкций от клиентов - в случае невыполнения доставки в срок.

Актуальность рисков

Конечно, не все из описанных рисков актуальны уже сейчас. В отдельных случаях приняты другие методы конкуретной борьбы, в отдельных автор опустил очевидные предохранители (например, склады сырья), в отдельных могут быть использованы неизвестные автору компенсирующие контрольные меры, в отдельных случаях еще не настолько развита концепция Connected Car (нет технологии - нет уязвимости), но с каждым годом будет оставаться все меньше неподключенного к Сети автотранспорта, и риски будут расти.

Пока еще не поздно стоит посмотреть на покупку автотранспорта как на введение в корпоративный периметр еще одной информационной системы, с стандартной необходимостью предварительного анализа рисков, формирования портфеля сдерживающих мер ИБ, и тестирования уровня защищенности перед передачей в продуктив.

Благо, архитектуры информационных систем автомобилей сравнительно просты (например, им далеко до ERP), а фирмы поставщики услуг анализа защищенности могут быть рады дать значительные скидки за возможность получить первые коммерческие проекты и отзывы клиентов в области информационной безопасности автотранспорта.