Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Число ботнетов на базе умных гаджетов постоянно растет. На ситуацию начали обращать внимание регуляторы. Мы решили обсудить обстановку в разных странах и можно ли наконец поставить букву S (stands for security) в аббревиатуру IoT.
Погружение в контекст
Безопасность интернета вещей — старая тема. Исследованиями в этой области занимаются больше десяти лет. Однако один из первых законов, направленных на защиту IoT-гаджетов, приняли только в 2018 году в Калифорнии. Документ обязывает производителей умных устройств генерировать для них уникальные комбинации логина и пароля. Они также могут разработать специальный механизм, который вынудит покупателя изменить стандартные данные для входа при первом запуске.
С тех пор о безопасности IoT заговорили на федеральном уровне, а новые законопроекты на эту тему готовят в Европе. Так, Еврокомиссия прорабатывает «Закон о киберустойчивости» (Cyber Resilience Act) и схему сертификации. По сути, это набор норм, которым должны соответствовать все умные устройства, продаваемые на территории союза.
Правила затронут весь производственный цикл IoT. Разработчики будут сообщать регулятору обо всех обнаруженных уязвимостях, а также предоставлять обновления безопасности на протяжении пяти лет. Стоит заметить, что новые правила не относятся к открытому аппаратному обеспечению (но только если оно не предназначено для продажи). За нарушения предусмотрены оборотные штрафы в стиле GDPR.
Вопрос защиты IoT также решает правительство Великобритании. В конце прошлого года там представили свой нормативный документ — Product Security and Telecommunications Infrastructure bill (PST). По аналогии с калифорнийским законодательством он запрещает разработчикам умных гаджетов устанавливать однообразные пароли, но вводит и дополнительные требования.
В частности, производители должны сообщать покупателям, как долго будут выходить обновления безопасности для устройств, и запустить канал (если его нет), по которому пользователи могут сообщить об уязвимостях. За соблюдением требований будет следить пока не назначенный регулятор. Он получит право выписывать штрафы до 4% годового оборота компании.
Над ужесточением законодательства в сфере IoT также работают в Китае и Японии.
Подводные камни
В большинстве случаев организации по защите прав потребителей вроде The European Consumer Organisation (BEUC) тепло отзываются о нововведениях. Взлом всего одного умного продукта ставит под угрозу безопасность целой организации и её поставщиков. И новое регулирование — это еще один шаг к усилению корпоративного периметра. Однако предлагаемых мер все же может быть недостаточно.
Есть мнение, что исключение однообразных паролей создает новые проблемы. Как быть, если пользователь забыл данные аутентификации, а условную колонку, датчик или маршрутизатор нужно передать в сервисный центр на диагностику? Вероятно, производители должны будут создать аккаунты суперпользователей или внедрить бэкдоры. Но информация о них может легко попасть в руки злоумышленников.
Некоторые опасения также вызывает требование предоставлять обновления безопасности на протяжении установленного времени. Есть вероятность, что производители IoT-устройств будут предлагать скидки на девайсы, срок обслуживания которых подходит к концу. По итогу клиенты будут покупать продукты, которые уже в ближайшем будущем окажутся без поддержки.
В целом эксперты считают, что в вопросах безопасности интернета вещей регуляторы делают недостаточно и движутся слишком медленно. Большинство новых правил касаются лишь производителей умных устройств для домашнего пользования и не затрагивают вопросы, связанные с безопасностью «подключённых автомобилей», медицинского оборудования и даже обычных персональных компьютеров.
Этого недостаточно
Эксперты отмечают, что законодательное регулирование в сфере IoT полезно, но необходимо привлекать к проблеме внимание пользователей. Среди оригинальных предложений — внедрять систему звуковых сигналов в девайсы, которым требуется проверка безопасности или установка обновления (по аналогии с пикающими датчиками дыма). Хотя к таким решениям стоит подходить осторожно, так как не каждый захочет иметь дело с противно пищащими устройствами.
Параллельно производителям стоит рассказывать людям о рисках и угрозах для умных девайсов, а также поработать над приложениями и интерфейсами, чтобы сделать процесс обновления как можно более бесшовным.
Дополнительное чтение в нашем блоге на Хабре:
Могут ли интернет-провайдеры продавать обезличенные ПД
Если нужно провести пентест — обсуждаем проект p0f
И в корпоративном блоге VAS Experts:
Зачем заменять MikroTik на программный BRAS?
Гибридное шифрование с открытым ключом — теперь в формате RFC
