Для интернета вещей разработали революционные стандарты безопасности

13.12.2019, Пт, 09:49, Мск , Текст: Роман Георгиев

Разработчик стандартов безопасности впромышленности и электроники UnderwritersLaboratories предлагает новый принципстандартизации безопасности устройств интернета вещей сразу по несколькимкатегориям. В компании признают, что большая часть продуктов, находящихсясейчас на рынке, эту сертификацию не пройдет.

Поздно спохватились

Компания Underwriters Laboratories (UL), занимающаяся вопросами стандартизации и сертификации в области техникибезопасности, предложила свой стандарт безопасности устройств интернета вещей.

Обладая постояннымипредставительствами в 46 странах мира и обслуживая более сотни, UL — одна из самыхавторитетных структур в своей области. Ею разработаны стандарты безопасностидля множества разных отраслей промышленности, включая экологию, строительство,промышленное оборудование, электрические и электронные продукты и т. д.

ULнедавно опубликовала свой «Рейтинг безопасности интернета вещей», в рамкахкоторого производится оценка «критических факторов безопасности smart-продуктов», где фиксируетсяналичие или отсутствие известных уязвимостей и устойчивость устройств перед наиболее типичными методами кибератак.

«Большинство взломовявляются следствием слабых мест и известных уязвимостей, — говорится впубликации UL. —Как производитель вы должны стремиться избавиться от них и придерживатьсяпроверенных методов обеспечения безопасности. Лишь недавно государства взялисьза регулирование безопасности IoT-устройств, но они все еще полагают, чтоинициатива должна исходить от индустрии безопасности».

Влиятельная организация предложила новые стандарты безопасности интернета вещей

«Подобные меры следовалобы принять уже давно: количество подключенных устройств во всем мире вплотнуюподбирается к 50 миллиардам, а положение с их защищенностью никакого оптимизмане внушает, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Из-за этогоинтернет вещей становится источником постоянной угрозы для частных икорпоративных пользователей. В 2016 году ботнет, состоявший из IoT-устройств, былиспользован для организации одной из мощнейших DDoS-атак в истории, но это лишь один, самый известныйслучай. Подобные атаки, пусть и меньших масштабов, происходят постоянно.Необходима и сертификация, и законодательные меры для того, чтобы заблокироватьпопадание небезопасных устройств на рынок; но также необходимо, чтобыинициативу проявляли и коммерческие структуры, и конечные пользователи».

Компания SEC Consult разработаласпециальное решение для анализа безопасности устройств интернета вещей — IoT Inspector, которое позволяетанализировать программные оболочки таких устройств на предмет наиболее распространенныхпроблем – уязвимостей, вшитых паролей, ключей SSH/SSL и других факторов, сказывающихся на безопасностиэтих систем. В большинстве случае, указывает Галушкин, устройства оказываютсяуязвимыми именно в силу таких ошибок, а также небрежного отношенияпользователей к своей безопасности.

Стандартов нет. Но будут?

На сегодняшний деньникаких общепринятых стандартов качества и безопасности интернета вещей нет.Обилие уязвимостей превращают их в самый буквальный риск для кибербезопасностина макроуровне.

UL —не первая организация, предлагающая реализовать стандарт безопасности исертифицировать устройства интернета вещей перед продажей. Однако UL является одной из самыхреспектабельных структур, занимающихся подобной деятельностью, так что у нееесть шансы заставить к себе прислушаться.

Сертифицироватьустройства предлагается по семи категориям: обновление программных компонентов,данные и криптография, логическая безопасность, управление системой,пользовательские личные данные, протоколы безопасности и процесс,документирование.

Каждому из этих факторовсоответствует набор практических рекомендаций по обеспечению защищенности.

Например, самым минимальнымтребованием в категории «данные и криптография» является отсутствие пароля поумолчанию. Для получения максимального сертификата, Diamond в той же категории устройство должно выстоятьпротив брутфорса.

По мнению директора побезопасности и технологиям UL Эндрю Джеймисона (Andrew Jamieson),лишь небольшой процент устройств, доступных сегодня на рынке, отвечаетмаксимальным требованиям, предъявляемым сертификацией UL, в то время как большая часть таких устройств непройдет сертификацию даже по нижнему порогу.

Еще в июне 2019 г. UL опубликовала черновойвариант своих стандартов и требований, но Джеймисон признал, что фактическиразработка этих нормативов находится на ранней стадии. Сейчас компания активносотрудничает с производителями устройств интернета вещей в надежде на улучшениекачества их разработок. В начале 2020 г. ожидается публикацияновой редакции стандартов.

 

СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"