пятница, 3 июня 2016 г.

Бизнес-риски Connected Cars

Источник: http://www.pcweek.ru/security/article/detail.php?ID=185982


На одной из недавних профильных конференций прозвучала мысль об отсутствии значимого влияния на бизнес взлома авто. Логика понятна - ну авто и авто, стоимость по сравнению с другими корпоративными активами незначительна, товар серийный - легко поддается замене.

Интуитивно я был не согласен с этой оценкой, и вот сейчас представляю анализ влияния на бизнес взлома авто.
Возьмем 5 ключевые секторов российской экономики - госуправление и ВПК, промышленность, АПК, финансы и транспорт.
Идентифицируем модели использования авто в разрезе каждого из них, определим угрозы и опишем итоговое влияние на бизнес.
Модели использования (use cases) корпоративного автотранспорта:
1.            Перевозка топ-менеджмента - все отрасли
2.            Перевозка секретоносителей - Госуправление, ВПК
3.            Перевозка работников - ВПК, Промышленность, АПК
4.            Поставки сырья - Промышленность, АПК
5.            Поставки готовой продукции - Промышленность, АПК
6.            Перевозка денежных средств - Финансы
7.            Оказание транспортных услуг - Транспорт
Перевозка топ-менеджмента может быть сорвана конкурентами (актуально во время конфликтного слияния или поглощения, корпоративного конфликта за важный актив), топ-менеджер может быть физически устранен (путем вмешательства в работу автомобиля или отслеживания передвижений автомобиля), автомобиль может послужить каналом утечки ценной информации (подслушка через встроенный микрофон или отслеживание передвижений автомобиля).
Перевозка секретоносителей с точки зрения информационной безопасности является частным случаем перевозки топ-менеждмента, основная проблема - автомобиль как канал утечки ценной информации.
Перевозка работников может быть использована для компрометации компании перед государственными органами, в частности регулятором в сфере промышленной безопасности (через рост показателей смертности на производстве из-за ДТП), а так же для ослабления способности компании выполнять ежедневные операции при существенных потерях среди работников.
Поставки сырья в промышленности является не только существенной статьей затрат (потери закупленного сырья негативно скажутся на операционной рентабельности бизнеса), но и необходимой предпосылкой для непрерывного функционирования производственных процессов. Непредвиденная остановка бизнес-процессов из-за нехватки сырья (например, нехватка корма для птиц или остановка доменной печи) влечет немедленные убытки и дополнительные затраты на восстановление производства. Особенно актуален риск сейчас, когда в целях снижения затрат промышленность внедряет lean подходы и минимизирует запасы сырья.
Поставки готовой продукции не только формируют доходную часть отчета о прибылях и убытках предприятия, но и предоставляют необходимую для функционирования предприятия денежную ликвидность. Приостановки поставок, недопоставки приводят к недополучению прибыли, необходимости привлекать оборотный капитал на финансовых рынках (например в кредит под 20% годовых), а в случае скоропортящихся продуктов АПК - и к невозможности дальнейшей реализации продуктов.
Перевозка денежных средств - очевидная цель для криминалитета, автомобиль может быть использован как канал утечки схем инкассации так и для выведения из строя инкассаторов во время ограбления.
Оказание транспортных услуг зависит от правильной работы всех узлов автомобиля, несанкционированное вмешательство в его работу создает бизнесу проблемы в части роста издержек и возможность недополучения дохода, штрафных санкций от клиентов - в случае невыполнения доставки в срок.
Актуальность рисков
Конечно, не все из описанных рисков актуальны уже сейчас. В отдельных случаях приняты другие методы конкуретной борьбы, в отдельных автор опустил очевидные предохранители (например, склады сырья), в отдельных могут быть использованы неизвестные автору компенсирующие контрольные меры, в отдельных случаях еще не настолько развита концепция Connected Car (нет технологии - нет уязвимости), но с каждым годом будет оставаться все меньше неподключенного к Сети автотранспорта, и риски будут расти.
Пока еще не поздно стоит посмотреть на покупку автотранспорта как на введение в корпоративный периметр еще одной информационной системы, с стандартной необходимостью предварительного анализа рисков, формирования портфеля сдерживающих мер ИБ, и тестирования уровня защищенности перед передачей в продуктив.
Благо, архитектуры информационных систем автомобилей сравнительно просты (например, им далеко до ERP), а фирмы поставщики услуг анализа защищенности могут быть рады дать значительные скидки за возможность получить первые коммерческие проекты и отзывы клиентов в области информационной безопасности автотранспорта.

Комментариев нет:

Отправить комментарий