Цифровая революция. Преимущества и риски. Искусственный интеллект и интернет всего

Основные направления использования Интернета вещей криминалом

Эксперты США, Великобритании и ЕС выделяют несколько основных направлений использования IoT преступниками:

– использование IoT уязвимостей для вымогательства и шантажа. Развитие атак на устройства IoT во многом напоминает историю ранних атак на классические компьютеры, серверы и гаджеты. Используются наиболее вопиющие уязвимости и для атак применяется недорогой покупной софт. Очевидно, что в ближайшее время можно ожидать появления такого неприятного явления, как вымогательское ПО, нацеленное на IoT системы – компоненты умных домов, инфраструктуру умного города, публичного транспорта, робототехнических линий и т. п. Учитывая опыт классических IT систем, атаки с использованием вредоносных программ-вымогателей, действующих через IoT, могут быть весьма прибыльными для киберпреступников;

– использование уязвимостей IoT для промышленного шпионажа и криминальной разведки. Плачевное состояние дел с информационной безопасностью IoT открыло киберпреступникам возможность использования IoT устройств как ворот в «хорошо защищенные корпоративные, муниципальные и федеральные сети».

Наибольшим уровнем уязвимости обладают системы видеонаблюдения и как это ни парадоксально системы охраны периметра предприятия. Эти уязвимости, как правило, используются для проникновения в корпоративные системы и кражи оттуда документации, интеллектуальной собственности, файлов с юридическими и бухгалтерскими документами.

Наличие многочисленных уязвимостей в IoT устройствах делает IoT сети, соединяющие эти устройства, желанной добычей для киберпреступников. Они превращают такие сети в распределенные зомби-компьютеры. Эти зомби-сетевые компьютеры используются для DDoS атак на сайты и платформы в традиционном Интернете.

– использование IoT устройств для совершения тяжких криминальных преступлений. Поскольку одной из наиболее насыщенных IoT устройствами сферой является личный транспорт, то преступники используют уязвимости IoT устройств в автомобилях для перехвата управления ими с последующим инициированием катастроф.

Главная опасность бытового IoT – это использование уязвимостей IoT для проникновения в частную жизнь граждан. Согласно создателю поисковика Shodan в 2017 году при помощи этого поисковика можно было обнаружить уязвимости у родительских видеокамер в более чем 300 тыс. британских семей, подключиться к этим камерам и наблюдать домашнюю жизнь семей и их взаимоотношения с детьми.

The New Times в 2018 году опубликовала отчет о преследованиях и домашнем насилии через устройства, подключенные к Интернету. Преследователи, или, как их еще называют, абьюзеры (эмоциональный насильник) используют их не только для слежки за своими жертвами. Они меняют коды дверей, включают и выключают свет и повышают температуру термостата до невыносимого состояния. Их цель – сделать своих жертв максимально несчастными.

Стать жертвами домашнего насилия могут любые обладатели IoT устройств. Согласно статистике McKinsey, в 2017 году в 29 млн домов в США было хотя бы одно умное устройство. По данным WomenSY, уже несколько человек, обратившихся за помощью в эту организацию по борьбе с насилием, попали в психиатрические учреждения. Их расстройства связаны с тем, что умными устройствами в их доме кто-то манипулировал. Национальная горячая линия по борьбе с бытовым насилием сообщает: с каждым месяцем все больше людей звонят с параноидальными жалобами – кто-то управляет их домом. Люди теряют контроль над дверями, динамиками, термостатами, лампами и камерами.

IoT оказывает все более значительное влияние на бизнес. Наиболее широко используются устройства IoT в авиастроении, энергетике, химической промышленности, банковском секторе, а также автомобилестроении. По состоянию на сегодняшний день именно автомобилестроение в наибольшей мере страдает от киберпреступности, связанной с IoT. В 2015 году компания Крайслер объявила о возврате 1,4 млн автомобилей после того, как пара хакеров продемонстрировали журналу Wired, что, используя IoT устройства контроля состояния тормозов, можно удаленно взять под управление автомашины Крайслер. В 2016 году ФБР выпустило специальное предупреждение, что через IoT устройства может быть перехвачено управление траками и грузовиками девяти производителей.

Основные направления преступности с использованием IoT в ближайшей перспективе 2022–2025

Можно выделить следующие основные направления наиболее опасного использования криминалом IoT в ближне- и среднесрочной перспективе:

– использование высокотехнологичного криминала в корпоративных войнах. Согласно отчету компании Gartner за 2017 год, до 25 % будущих атак на предприятия будут осуществляться через IoT устройства. «Цифровой бизнес размывает границы между виртуальным и физическим мирами. Соответственно цифровые инциденты приводят к физическому ущербу», – заявил Д. Зумерле, директор по прогнозированию в Gartner. По его мнению, до 50 % краж интеллектуальной собственности и секретных, а также конфиденциальных данных и документов из корпоративных сетей будут осуществляться хакерами, использующими для проникновения в корпоративные сети IoT. Именно IoT устройстванаряду со смартфонами станут двумя главными воротами для преступников в защищенные корпоративные сети бизнес- структур и банков;

– использование IoT для убийств и других тяжких преступлений. В цифровой среде человек будет все чаще прибегать к использованию связанных с Интернетом имплантатов, а повседневная жизнь будет проходить в среде IoT. Уже в настоящее время более 3,6 % американцев и 1,8 % британцев, в основном имеющих кардиологические и эндокринные заболевания, носят в себе имплантаты, соединённые с Интернетом. Ежегодно доля людей с вживленными чипами возрастает как минимум на 5–7 %.

В 2017 году в Великобритании было зафиксировано два случая использования уязвимостей имплантатов для попытки убийства граждан, ими обладающих. В одном случае убийство произошло, в другом – его удалось предотвратить. Полиции Лондона и Глазго по состоянию на март 2017 года не удалось изобличить преступников, хотя у них есть неопровержимые доказательства использования IoT имплантатов для совершения убийства. В начале 2019 года CNN подтвердили, что имплантируемые сердечные устройства St. Jude Medical уязвимы к атакам хакеров. Получив к ним доступ можно разрядить батарею устройства, ввести неправильный ритм или ударить током пользователя. Подобные уникальные случаи станут гораздо более распространенными в будущем и постепенно превратятся в повседневность, вытеснив традиционные виды убийств.

В настоящее время 70 % новых продаваемых машин в ЕС и Великобритании имеют жизненно важные узлы, связанные с Интернетом – IoT устройства. С 2018 года в Великобритании начали реализовываться электронные помощники Siri, синхронизированные с системой дистанционного управления автомобилем. Можно предположить, что именно автомобили станут в ближайшем будущем оружием убийства или нанесения физических травм их водителям и пассажирам.

В 2017 году полиция города Лидса, действуя совместно со Скотланд-Ярдом, смогла раскрыть группу в составе двух программистов с Украины и трех студентов университета Лидса – граждан Великобритании, разрабатывающих софт для перехвата управления автомобилем с помощью приложения к смартфону, использующего помощник Siri. Главная опасность подобных преступлений состоит в том, что по мере роста квалификации преступников, они будут все более походить на несчастные случаи и соответственно оказываться вне полицейских расследований;

– использование IoT для преступлений, связанных с подключенным государством на основе подмены реальности. В 2017 году на Давосском форуме впервые был использован термин «подключенное государство». Подключенное государство – это государство, широко использующее современные информационно-коммуникационные технологии (ИКТ) для поддержания порядка и национальной безопасности. Подключенное государство базируется на широком использовании IoT и почти всегда включает повсеместное использование биометрии, анализ данных биллинга и масштабное видеонаблюдение.

В рамках подключенного государства полиция не только активно использует данные видеонаблюдения, но и с каждым годом все больше доверяет автоматизированным системам распознавания образов на основе анализа поточного видео. Программным обеспечением систем распознавания образов являются обучаемые нейросети. В 2017 году группа информационной безопасности корпорации Google опубликовала доклад. Из него следует, что команда программистов и инженеров Google смогла найти уязвимости во всех основных наиболее эффективных системах распознавания образов, в том числе выпущенных Google, Amazon и Apple. Удалось экспериментально установить, что, используя уязвимости в программах распознавания лиц, можно удаленно и незаметно внести корректировки в алгоритмы обучения нейросети. Более того, оказалось возможным исключить определенных лиц из процесса обучения и сделать невозможным их автоматизированное распознавание системой.

Кроме того, существуют инструменты, позволяющие добиваться от нейросетей строго определенных ошибок. Их итогом становится неправильное распознавание. Программа неточно устанавливает принадлежность и не распознает преступников и в то же время маркирует благонамеренных граждан как криминальных элементов. В рамках этого исследования была протестирована система распознавания лиц Amazon Recognition. В результате взлома программы обучения удалось сделать так, что программа среди преступников, которых ей удалось опознать, установила 28 членов Конгресса США. Эти 28 членов были поименованы как преступники, которые были замечены камерами городского наблюдения Вашингтона, Нью-Йорка за совершением преступных действий. Все это происходило, когда Конгресс был на каникулах, и узнанные конгрессмены вообще не могли попасть в поле зрения видеокамер в Вашингтоне и Нью-Йорке, поскольку пребывали в своих округах. Стоимость каждого лжеопознания составила $ 12,33.

Из приведенного примера видно, что по мере перехода к подключенному государству и все более активному использованию автоматизированных систем анализа видеопотоков криминал может подменять реальность, делая виновных невиновными и наоборот. В ближайшие годы это, скорее всего, будет доступно лишь для небольшого числа высокопрофессиональных специалистов, однако в последующем окажется под силу квалифицированным хакерам, специализирующимся на преступлениях, связанных с IoT;

– использование IoT для создания криминальных армий. Уязвимости в безопасности IoT уже в настоящее время обнаруживаются не часто. В будущем же специалисты прогнозируют, что IoT будет доступен для хакеров даже больше, чем уязвимые смартфоны. В 2016–2017 годах была разработана вредоносная программа Mirai. Зловред автоматически распознавал и идентифицировал устройства с уязвимостями и подключал их к сети. Mirai удалось собрать и использовать в течение года в криминальных целях армию ботов из более 3 млн незащищенных IP-камер, роутеров и других устройств IoT. Армия использовалась для целенаправленных атак на банки со штаб-квартирами в США и Великобритании, а также для похищения личных данных и платежных реквизитов из розничных сетей в странах ЕС. Вполне очевидно, что с каждым годом масштабы создания криминальных бот-армий из IoT устройств будут возрастать. Поскольку атака армий, включающих миллионы устройств, крайне трудна для отражения, то данная опасность должна быть купирована на начальной стадии, иначе будет поздно.

Во второй половине двадцатых годов нынешнего века экспоненциальные темпы развития информационно-коммуникационных технологий в их сегодняшнем виде станут сами по себе создавать угрозы для национальной и глобальной безопасности. В нынешнем конфликтном, все более деструктивном мире риски неконтролируемого развития ИКТ, включая IoT, накладываются на неуклонный рост могущества небольших и даже малых – в составе пяти-семи человек – деструктивных группировок хакеров, киберкриминала и террористов. Уже сегодня небольшие группы будут способны поставить под угрозу жизнедеятельность не отдельных домов или кварталов, но мегаполисов, а возможно и различного рода критических сетей. Главная проблема состоит в том, что, по оценкам большинства «фабрик мысли», специализирующихся на высоких технологиях, например, Центра новой американской безопасности для того, чтобы полностью защитить свое киберпространство в эпоху Интернета всего Соединенным Штатам ежегодно надо тратить до 3–5 % государственного бюджета, как минимум. Covid-19 также стимулирует дальнейшие инвестиции в корпоративный сектор IoT. В условиях длительного периода низких темпов экономического роста это просто невозможно. Уже сегодня Соединенные Штаты, а также Япония и Великобритания стали крепостями, которые невозможно защитить не только от вражеских киберармий, но и от банд молодых хакеров и небольших киберпреступных группировок, действующих поверх границ, и игнорирующих любые государственные соглашения и договоры.

1.2. Интернет тела

Неутомимый Илон Маскв рамках проекта Neuralink планирует в благих намерениях (помочь больным и обездвиженным) провести испытания нейроинтерфейса на людях и вживить нейрочип в мозг человека уже в 2022 году. На свиньях и обезьяне он уже удачные испытания провёл. Обезьяна с чипом даже поиграла в видеоигру. А реакции свиней стали похожи на реакции человека. Видимо, конечной целью является достижение результата, когда люди станут управляемые как свиньи. А что ещё внедряют людям в мозг, сердце и другие части тела?

Со стремительным развитием микроэлектроники появилась возможность встраивать элементы, передающие информацию, в предметы гардероба (часы, кроссовки, майки и т. п.), а также широко использовать микроэлектронику в новом поколении медицинской техники, реализующей различного рода имплантаты – от чипов, контролирующих сахар в крови, до кардиостимуляторов и т. п. Устройства, подключенные к Интернету, которые человек носит на своем теле, которые проглатываются или имплантируются хирургическим путем в человеческое тело, позволяющие передавать информацию через Интернет, называют по-разному. По-английски – Internet of Bodies (IoB). На русском языке встречаются такие названия, как «Интернет людей», «Интернет тела», «бодинет».

С одной стороны, развитие IoВ технологий порождает огромное количество данных, связанных со здоровьем, которые могут улучшить благосостояние людей во всем мире и оказаться решающими в борьбе с пандемией Covid-19. С другой стороны, широкое распространение устройств IoВ порождает принципиально новые типы угроз, связанные с возможностью осуществления киберпреступлений, вплоть до нанесения тяжелых телесных повреждений и убийств, а также целевого точечного кибертерроризма. Сейчас в мире данная угроза рассматривается как актуальная, и как на государственном уровне, так и на уровне частных компаний разрабатываются конкретные меры по противодействию ей.

В октябре 2020 года американская корпорация RAND опубликовала доклад «Бодинет: возможности, риски и управление». В этом докладе обсуждаются тенденции технологического развития IoВ, описываются выгоды и риски для пользователя IoB и других заинтересованных сторон. Авторы представляют текущее состояние управления, которое применяется к устройствам IoB, и данные, которые они собирают, а также дают рекомендации, чтобы наилучшим образом сбалансировать эти возможности, риски и угрозы.

Что же такое IoB? Широкий спектр «умных» устройств, подключенных к Интернету, обещает потребителям и предприятиям повышенную производительность, удобство, эффективность и удовольствие. В рамках более широкого Интернета вещей (IoT) находится растущая индустрия устройств, которые контролируют человеческое тело, собирают информацию о здоровье и другую личную информацию и передают эти данные через Интернет. Эти новые технологии и собираемые ими данные называются Интернетом тела (IoB). Впервые термин использовала в 2016 году американка, профессор права и инженерии Андреа М. Матвишин.

Устройства IoB бывают различные. Некоторые уже широко используются, например, фитнес-мониторы с наручными часами или кардиостимуляторы, которые передают данные о сердце пациента непосредственно кардиологу. Другие, находящиеся в стадии разработки или недавно появившиеся на рынке, могут быть менее знакомы, например, продукты для приема внутрь, которые собирают и отправляют информацию о кишечнике человека, имплантаты микрочипов – устройств для стимуляции мозга, подключенные к Интернету.

Эти устройства имеют непосредственный доступ к организму и собирают огромное количество личных биометрических данных. Производители устройств IoB обещают обеспечить существенную пользу для здоровья и другие преимущества, но также несут серьезные риски, включая риски взлома, нарушения конфиденциальности или неисправности.

Некоторые устройства, такие как искусственная поджелудочная железа для диабетиков, могут произвести революцию в лечении болезней, в то время как другие могут просто завышать расходы на здравоохранение с небольшим положительным влиянием на результаты.

Общепринятого определения IoB не существует.

В докладе авторы называют IoB(или экосистему IoB)

устройствами IoB вместе с программным обеспечением, которое они содержат, и данными, которые они собирают.

Устройство IoB определяется как устройство, которое:

– содержит программное обеспечение или вычислительные возможности;

– может обмениваться данными с подключенным к Интернету устройством или сетью и удовлетворяет одному или обоим из следующих условий;

– собирает персональные данные о здоровье или биометрические данные человека;

– может изменить функцию человеческого тела.

Программное обеспечение или вычислительные возможности устройства IoB могут быть простыми или сложными. Обязательно требуется подключение к Интернету через сотовую сеть или Wi-Fi, но не обязательно прямое подключение. Например, устройство может быть подключено через Bluetooth к смартфону или USB-устройству, которое обменивается данными с компьютером, подключенным к Интернет у.

Данные о здоровье, генерируемые человеком (PGHD), относятся к данным о здоровье, клинических проявлениях или самочувствии, собираемым технологиями для записи или анализа пользователем или другим лицом. Биометрические или поведенческие данные относятся к измерениям уникальных физических или поведенческих свойств человека. Наконец, изменение функции тела относится к улучшению или модификации того, как работает тело пользователя, например, когнитивное улучшение памяти, обеспечиваемое интерфейсом мозг-компьютер.

Устройства IoB обычно, но не всегда, требуют физического соединения с телом (например, их носят, проглатывают, имплантируют или иным образом прикрепляют или внедряют в тело, временно или постоянно). Многие устройства IoB являются медицинскими устройствами. Устройства, не подключенные к Интернету, такие как обычные кардиомониторы или медицинские идентификационные браслеты, не входят в определение IoB. Имплантированные магниты (используемые участниками так называемого сообщества бодихакеров) также не связаны с приложениями для смартфонов, потому что, хотя они изменяют функциональность тела, позволяя пользователю ощущать электромагнитные колебания, устройства не содержат программного обеспечения. Некоторые устройства могут подпадать под определение IoB лишь в определенное время. Например, смартфон с подключением к Wi-Fi сам по себе не будет частью IoB. Однако после установки приложения для здоровья, которое требует подключения к телу для отслеживания пользовательской информации, такой как частота сердечных сокращений или количество сделанных шагов, телефон будет считаться IoB.

Авторы доклада сосредоточились на анализе существующих и появляющихся IoB-технологий, которые, по-видимому, могут улучшить здоровье и медицинские результаты, эффективность, функции или производительность человека, но которые также могут поставить под угрозу юридические, этические права и права на конфиденциальность пользователей, либо представляют риски для личной или национальной безопасности.

Развивающийся ландшафт устройств и идей IoB тесно связан с Интернетом вещей (IoT), который также не имеет универсального определения. Тем не менее, устройства IoT имеют несколько широко признанных характеристик.

Во-первых, устройства Интернета вещей подключаются к Интернету напрямую или через локальную сеть.

Во-вторых, у них есть, по крайней мере, одна из следующих функций: способность вызывать или ощущать некоторые физические изменения, напрямую получать информацию от людей, или предоставлять информацию людям, или извлекать и хранить данные.

Наконец, IoT-устройства должны взаимодействовать, чтобы приносить преимущество пользователю. Например, лампочку можно запрограммировать на включение в сумерках без подключения к сети. Она становится частью Интернета вещей только тогда, когда она подключена к другому устройству Интернета вещей, например, к смартфону, что позволяет пользователю включать свет, не находясь дома.

Согласно определениям авторов доклада, любое устройство IoB является устройством IoT. Определение IoB включает в себя технологии из того, что часто называют Интернетом вещей в сфере здравоохранения, хотя не каждое устройство IoB в сфере здравоохранения можно считать устройством IoB. Системы роботизированной хирургии, устройства, используемые для лечения, такие как интеллектуальные аппараты ИВЛ, являются частью экосистемы IoB, поскольку они собирают информацию о пользователях и/или изменяют функции организма. Однако «умный» холодильник больницы, используемый для хранения вакцин, который может быть подключен к сети и предупреждать персонал, если запасы заканчиваются, не является устройством IoB, т. к. он не соответствует определению.