Чем больше интеллектуальных устройств мы привносим в нашу жизнь, тем более серьёзной проблемой становится кибербезопасность. Например, только в первой половине 2019 года ловушки Касперского выявили более 1,5 миллиарда атак на потребительские IoT-устройства. Чтобы минимизировать эти риски кибербезопасности, группа ETSI (Европейский институт телекоммуникационных стандартов) в 2021 году создала стандарт — ETSI EN 303 645.
Стандарт обеспечивает глобальную основу для безопасности подключённых потребительских устройств IoT, усиливая его предшественника — TS 103 645.
Было привлечено множество экспертов из научных кругов, промышленности и правительства, в результате чего было разработано 13 надёжных положений, предназначенных для предотвращения крупномасштабных кибератак, таких как печально известная атака ботнета Mirai в 2016 году, которая заразила сотни тысяч устройств:
1. Никаких универсальных паролей по умолчанию.
2. Внедрить средства управления отчётами об уязвимостях.
3. Постоянно обновляйте программное обеспечение.
4. Надёжно храните конфиденциальные параметры безопасности.
5. Общайтесь безопасно.
6. Минимизируйте открытые поверхности атаки.
7. Обеспечьте целостность программного обеспечения.
8. Обеспечьте защиту персональных данных.
9. Сделайте системы устойчивыми к сбоям.
10. Изучите данные телеметрии системы.
11. Упростите для потребителей удаление личных данных.
12. Упростите установку и обслуживание устройств.
13. Проверьте входные данные.
Кроме того, некоторые положения соответствуют законам о конфиденциальности данных, таким как GDPR. Например, производители должны предоставлять потребителям чёткую информацию о том, какие данные собираются, как они используются и как их можно удалить.
Слово «потребитель» находится в центре данного стандарта. Это распространяется на подключённые или «умные» устройства, которые сегодня может иметь дома любой человек. Например, смарт-телевизоры, колонки, системы сигнализации, дверные замки, детекторы дыма, радионяни и так далее – целых 16 подключённых устройств, каждое из которых имеет точку входа в домашнюю сеть. Таким образом, действие стандарта ETSI EN 303 645 распространяется на централизованную точку доступа для различных устройств.
Производители Интернета вещей обычно не создают свои операционные системы (ОС), поскольку это дорого и отнимает много времени. Глобальные технологические компании будут предоставлять обновления ОС миллионам пользователей.
Кроме того, продавец или производитель устройства IoT часто не является комплексным разработчиком аппаратного или программного обеспечения устройства, а это означает, что внутренняя работа устройства часто скрыта.
Любой, кто хочет получить эту информацию, может использовать подход «хрустального ящика» или «чёрного ящика».
Подход «хрустальный ящик»: производители заранее предоставляют исходный код и дизайн. Это случается редко, но позволяет провести аудит исходного кода, чтобы определить, как устанавливаются и поддерживаются границы доверия.
Подход «чёрный ящик»: более распространённый подход, при котором необходимо провести реверс-инжиниринг прошивки, чтобы получить чёткое представление о том, что происходит внутри устройства.
По сути, производители должны доказать, что их потребительские устройства IoT соответствуют стандарту ETSI EN 303 645, пройдя оценку, проводимую сторонней испытательной лабораторией.
Как правило, процесс оценки состоит из того, что:
• Производители сначала заполняют два ключевых документа, которые предоставляют информацию для оценки устройства: Заявление о соответствии реализации (ICS). Это указывает, каким требованиям ETSI EN 303 645 соответствует или не соответствует устройство IoT.
• Второй — это дополнительная информация о реализации для тестирования (IXIT), в которой представлены детали конструкции для тестирования.
• Испытательная лаборатория оценит и протестирует продукт на основе двух документов. Будет предоставлен отчёт, подтверждающий соответствие продукта стандарту ETSI EN 303 645.
Хотя стандарт ETSI EN 303 645 не является всеобъемлющим, он устанавливает достижимый базовый стандарт безопасности для заинтересованных сторон IoT. Стандарт также повышает уверенность потребителей в безопасности повседневных «умных» продуктов. Сопровождающая этикетка соответствия также поможет потребителям легко идентифицировать продукты, которые они могут с уверенностью купить.
По материалам открытых источников