Для интернета вещей разработали революционные стандарты безопасности



Разработчик стандартов безопасности в промышленности и электроники UnderwritersLaboratories предлагает новый принцип стандартизации безопасности устройств интернета вещей сразу по нескольким категориям. В компании признают, что большая часть продуктов, находящихся сейчас на рынке, эту сертификацию не пройдет.

Поздно спохватились

Компания Underwriters Laboratories (UL), занимающаяся вопросами стандартизации и сертификации в области техники безопасности, предложила свой стандарт безопасности устройств интернета вещей.

Обладая постоянными представительствами в 46 странах мира и обслуживая более сотни, UL — одна из самых авторитетных структур в своей области. Ею разработаны стандарты безопасности для множества разных отраслей промышленности, включая экологию, строительство, промышленное оборудование, электрические и электронные продукты и т. д.

UL недавно опубликовала свой «Рейтинг безопасности интернета вещей», в рамках которого производится оценка «критических факторов безопасности smart-продуктов», где фиксируется наличие или отсутствие известных уязвимостей и устойчивость устройств перед наиболее типичными методами кибератак.

«Большинство взломов являются следствием слабых мест и известных уязвимостей, — говорится в публикации UL. — Как производитель вы должны стремиться избавиться от них и придерживаться проверенных методов обеспечения безопасности. Лишь недавно государства взялись за регулирование безопасности IoT-устройств, но они все еще полагают, что инициатива должна исходить от индустрии безопасности».

«Подобные меры следовало бы принять уже давно: количество подключенных устройств во всем мире вплотную подбирается к 50 миллиардам, а положение с их защищенностью никакого оптимизма не внушает, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Из-за этого интернет вещей становится источником постоянной угрозы для частных и корпоративных пользователей. В 2016 году ботнет, состоявший из IoT-устройств, был использован для организации одной из мощнейших DDoS-атак в истории, но это лишь один, самый известный случай. Подобные атаки, пусть и меньших масштабов, происходят постоянно. Необходима и сертификация, и законодательные меры для того, чтобы заблокировать попадание небезопасных устройств на рынок; но также необходимо, чтобы инициативу проявляли и коммерческие структуры, и конечные пользователи».

Компания SEC Consult разработала специальное решение для анализа безопасности устройств интернета вещей — IoT Inspector, которое позволяет анализировать программные оболочки таких устройств на предмет наиболее распространенных проблем – уязвимостей, вшитых паролей, ключей SSH/SSL и других факторов, сказывающихся на безопасности этих систем. В большинстве случае, указывает Галушкин, устройства оказываются уязвимыми именно в силу таких ошибок, а также небрежного отношения пользователей к своей безопасности.

Стандартов нет. Но будут?

На сегодняшний день никаких общепринятых стандартов качества и безопасности интернета вещей нет. Обилие уязвимостей превращают их в самый буквальный риск для кибербезопасности на макроуровне.

UL — не первая организация, предлагающая реализовать стандарт безопасности и сертифицировать устройства интернета вещей перед продажей. Однако UL является одной из самых респектабельных структур, занимающихся подобной деятельностью, так что у нее есть шансы заставить к себе прислушаться.

Сертифицировать устройства предлагается по семи категориям: обновление программных компонентов, данные и криптография, логическая безопасность, управление системой, пользовательские личные данные, протоколы безопасности и процесс, документирование.

Каждому из этих факторов соответствует набор практических рекомендаций по обеспечению защищенности.

Например, самым минимальным требованием в категории «данные и криптография» является отсутствие пароля по умолчанию. Для получения максимального сертификата, Diamond в той же категории устройство должно выстоять против брутфорса.

По мнению директора по безопасности и технологиям UL Эндрю Джеймисона (Andrew Jamieson), лишь небольшой процент устройств, доступных сегодня на рынке, отвечает максимальным требованиям, предъявляемым сертификацией UL, в то время как большая часть таких устройств не пройдет сертификацию даже по нижнему порогу.

Еще в июне 2019 г. UL опубликовала черновой вариант своих стандартов и требований, но Джеймисон признал, что фактически разработка этих нормативов находится на ранней стадии. Сейчас компания активно сотрудничает с производителями устройств интернета вещей в надежде на улучшение качества их разработок. В начале 2020 г. ожидается публикация новой редакции стандартов.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>