ISASA (Ассоциация аудита и контроля информационных систем) несколько лет назад провела глобальный опрос о рисках IoT среди специалистов IT Англии и Уэльса. Выяснилось следующее. 44 % отметили, что в 2016-2017 годах в их организациях уже имели место случаи нарушения безопасности с использованием IoT устройств, 85 % уверены, что это случится в ближайшие год-полтора, а 84 % отметили, что наиболее опасными для частного бизнеса являются уязвимости, присущие только IoT устройствам.
Исследователи из Университета имени Бен-Гуриона (Израиль) нашли в 2018 году в IoT ошибки, которые можно использовать для того, чтобы управлять системой «умного полива» со стороны. Получив контроль над большим количеством дождевателей, злоумышленник может израсходовать запасы воды в целом городе. По оценкам авторов, 1355 захваченных разбрызгивателей хватит, чтобы опустошить стандартную водонапорную башню в течение часа, а резервуар объемом 400 тысяч кубических метров за ночь могут исчерпать 23866 устройств.
Наша зависимость от технологий растет намного быстрее, чем способность обеспечивать от них защиту при использовании криминалом и террористами. Соответственно, вне зависимости от стараний полиции и спецслужб количество и ущерб от киберпреступлений с использованием IoT будет в ближайшие годы неуклонно нарастать. Однако это – только часть проблемы. Вторая заключается в следующем. Известно, что чем больше устройств в сети, и чем более переплетены сети, тем выше риск случайных отказов, возникновения неисправностей, которые могут привести к веерным отключениям. Специалисты по информационной безопасности полагают, что на горизонте двадцатых годов размеры и темпы увеличения сети Интернета всего будут столь велики, что неизбежно приведут к крупномасштабным катастрофам даже без вмешательства преступников и террористов. Это, кстати, открывает для последних дополнительные лазейки. У них возникает непреодолимый соблазн осуществить злонамеренные действия в сети, маскируя их под технические неисправности.
Производители, особенно импортеры, игнорируют ответственность перед покупателем. Например, китайский производитель игрушек никогда не будет продавать плюшевых мишек с иголками внутри, а корейский производитель автомобилей не выпустит автомобиль без тормозов. Если же на рынок поставляются плюшевые мишки с IoT или автомобили с IoT устройствами, то такая ситуация не просто вероятна, а уже имеет место в реальности. Например, из-за недостаточной информационной безопасности японских автомобилей в Великобритании в 2017 году преступной группе в составе индийских математиков и украинских программистов, действующих по заказу британских преступников, удалось перехватить управление шестью автомобилями. В результате несколько человек были убиты и получили тяжелые травмы. Автомобиль с IoT стал орудием убийства.