15 октября 2025 г.

Дмитрий Шкуропат

В эру активного развития искусственного интеллекта многие вспоминают сюжет нашумевшего в своё время «Терминатора» с его восстанием машин. Умными становятся не только телефоны, но даже бытовая техника. Теми же пылесосами и чайниками уже давно можно управлять удалённо. Однако не чревато ли такое стремительное поумнение приборов для нас, людей? Чем может быть опасно повсеместное внедрение ИИ даже на бытовом уровне? На тему размышляет руководитель команды киберзащиты облачного провайдера Nubes Дмитрий Шкуропат.

Итак, может ли ваш чайник/пылесос /часы вас убить (или обокрасть)?

Прямая угроза жизни маловероятна, но не невозможна. Если говорить о бытовых устройствах вроде чайника или пылесоса, то сценарий «убийства» выглядит фантастическим. Но при этом нужно понимать, что IoT-индустрия больше, чем бытовая техника. Умные медицинские устройства (инсулиновые помпы, кардиостимуляторы) теоретически могут быть скомпрометированы для причинения вреда. Дешёвые IoT-устройства с плохой защитой от перегрева или КЗ могут стать причиной возгорания.

Однако существует более реальная угроза. И это кража данных. Умные колонки, камеры, телевизоры и даже пылесосы с Wi-Fi часто имеют уязвимости, позволяющие перехватывать голосовые команды (и пароли), получать доступ к домашней сети, а через неё ― к компьютеру с банковскими или личными данными (к примеру). Устройство может использоваться как шпионский инструмент (благодаря микрофонам и камерам). Как следствие, вся эта информация может быть использована для шантажа с целью получения выкупа. Стоит так же учесть, что на сегодняшний день многие сотрудники работают удаленно, со своих домашних компьютеров. И это готовый вектор атаки на компанию.

Как связаны облака и умные устройства

Почти все IoT-устройства зависят от облачных сервисов. Управление происходит через облако. Например, когда вы включаете робот-пылесос через приложение, команда идёт не напрямую, а через серверы производителя, которые могут располагаться в облаке. Также информация с ваших IoT-устройств может храниться на облачных ресурсах производителя (логи голосовых помощников, видео с камер).

При таком взаимодействии можно выделить следующие риски:

  • если облачный сервис взломан, злоумышленник получает контроль над всеми подключёнными устройствами, а также доступ к личной информации пользователей;
  • отключение облачного сервиса может сделать ваши устройства бесполезными.

Корпоративные сети всё чаще становятся жертвами атак через IoT. Например, умные устройства в офисах (принтеры, камеры, датчики температуры) — слабое звено. Они редко обновляются и часто используют стандартные пароли от производителя. В промышленных компаниях IoT (умные станки, системы контроля), могут служить целью для злоумышленников или для саботажа.

Стоит также отметить, что скомпрометированные IoT-устройства могут быть частью большой ботнет-сети (например ботнет-сеть Mirai). А когда ботнет-сеть имеет в своём составе сотни тысяч или даже миллионы устройств, с её помощью производят крупные DDoS-атаки.

Как защититься

Пользователям рекомендуем:

  • смену паролей по умолчанию (90% атак происходят из-за логина admin:admin);
  • регулярные обновления ваших IoT-устройств (прошивки закрывают уязвимости);
  • отключение ненужных функций (например, удалённого доступа);
  • сегментацию сети (отдельную Wi-Fi сеть для IoT).

Бизнесу помогут защититься:

  • осознанный подход к внедрению IoT-устройств и их выбор;
  • инвентаризация всех IoT-устройств в сети (многие даже не знают, что у них есть «умный» чайник в офисе);
  • строгие политики доступа (запрет неизвестных устройств);
  • сегментация сети, регулярное сканирование устройств на наличие уязвимостей;
  • мониторинг трафика (аномальная активность IoT — повод для проверки).

IoT-устройства в нашей жизни становится всё больше с каждым днём. Но подходить к ним необходимо с разумной осмотрительностью и вниманием. Если у вас есть умное устройство, относитесь к нему как к новому сотруднику, которому нельзя доверять на 100%. Ведь производители часто выпускают устройства с дырами в безопасности, а пользователи и бизнес недооценивают риски.

Запомните: пока нет жёсткого законодательного регулирования и нет полноценной правовой основы для защиты пользователя от недоброжелателей, безопасность зависит от вас.

Источник: Дмитрий Шкуропат, руководитель команды киберзащиты облачного провайдера Nubes