Защита потребительских устройств IoT:зачем нужен глобальный стандарт

Для потребителей рост Интернета вещей (IoT) означает, что все больше и больше объектов в их доме теперь подключены к Интернету и потенциально подвергаются риску кибератак или раскрытия личных данных в результате нарушения конфиденциальности.

«За последние несколько лет, - говорит Алекс Ледбитер, председатель ETSI ». Технический комитет по кибербезопасности (TC CYBER), растет количество сообщений о такого рода проблемах потребительского Интернета вещей. Например, исследователи безопасности недавно обнаружили, что ZipaMicro , концентратор умного дома, использовал один и тот же закрытый ключ в каждом концентраторе, жестко запрограммированный в устройствах. В сочетании с зашифрованными паролями, которые они нашли в Интернете, это позволило исследователям открывать замки, контролируемые хабом.

К устройствам, подверженным риску, относятся подключенные игрушки, которые вполне могут содержать камеры и микрофоны, к которым можно получить удаленный доступ. Помимо атак через Интернет, некоторые игрушки теперь используют Bluetooth, что является потенциальным недостатком. Умные колонки, например Amazon ’S Echo, также уязвимы для хакеров, подслушивающих частные разговоры.

Такие проблемы обычно быстро устраняются поставщиками устройств после того, как они были предупреждены о новых продуктах, но это может быть слишком поздно, и существует непоследовательный подход к устранению или отзыву тех, которые уже есть на рынке. Правительства пытаются ввести законодательство, предписывающее более высокие стандарты - например, Великобритания консультируется по новым законам, которые могут включать обязательную маркировку продуктов и минимальные стандарты. США не отстают:Калифорния уже запретила общие пароли по умолчанию. Что касается защиты данных, то к любой хранимой личной информации применяются такие законы, как GDPR ЕС.

Но это может усложнить жизнь поставщикам продуктов - как они могут гарантировать, что они экономически эффективно соответствуют различным требованиям в разных странах, на быстро меняющемся рынке, где правила все еще определяются?

Стандарт содержит рекомендации по безопасности

Для решения этой проблемы ETSI недавно анонсировала ETSI TS 103 645, первый глобальный стандарт безопасности потребительского Интернета вещей. Новый стандарт направлен на установление эталона того, как компании должны защищать любые потребительские продукты, которые будут подключены к Интернету, и на продвижение передовой практики.

В то же время он был написан с упором на результаты, а не на конкретные методологии, что означает, что существует достаточная гибкость, позволяющая компаниям вводить новшества и находить лучшее решение для своих конкретных продуктов. Стандарт направлен на удовлетворение потребностей широкого спектра подключенных устройств, включая игрушки, носимые фитнес-трекеры, помощников для умного дома, умные телевизоры, дверные замки и системы домашней автоматизации.

Давайте посмотрим на рекомендации нового стандарта ETSI и на то, как он сделает подключенные потребительские устройства более безопасными.

Требования к устройству

Во-первых, стандарт гласит, что все пароли устройств должны быть уникальными, что позволяет преодолеть проблему сегодняшнего дня, когда многие продукты продаются с именем пользователя и паролем по умолчанию, которые пользователи часто не меняют. В нем также говорится, что невозможно восстановить пароль по умолчанию. Удивительно, что многие продукты, представленные на рынке, уже не соответствуют этому или другим более основным требованиям нового стандарта.

Защита персональных данных - важная часть стандарта, и он требует, чтобы вся конфиденциальная информация надежно хранилась - как на самих устройствах, так и в любых связанных службах, например в облаке. У устройств не должно быть жестко заданных учетных данных, поскольку их относительно легко обнаружить.

Продукты должны упростить для потребителей удаление своих личных данных, когда они захотят, с предоставлением четких инструкций. Точно так же установка и использование устройств IoT должны быть простыми и хорошо задокументированными. Данные также должны быть защищены и зашифрованы при передаче. Устройства должны обеспечивать подходящую защиту от атак на шифрование.

Все подключенные устройства должны соответствовать надлежащим методам обеспечения безопасности, таким как закрытие неиспользуемого программного обеспечения и сетевых портов, чтобы минимизировать риск атаки. Любые введенные данные должны быть проверены, чтобы предотвратить такие эксплойты, как использование значений, выходящих за пределы допустимого диапазона. Устройства также должны иметь возможность проверять свое программное обеспечение с помощью какого-либо аппаратного механизма безопасной загрузки и успешно справляться с любыми сбоями питания или сетью.

Помимо требований к самим устройствам, стандарт ETSI предъявляет особые требования к поставщикам продукции. Сюда входит поиск уязвимостей и своевременное реагирование на них.

А программное обеспечение устройства должно иметь возможность легко и безопасно обновляться.

Повышение доверия потребителей

Потребители справедливо обеспокоены безопасностью Интернета вещей. Новый стандарт - бесценный способ для поставщиков восстановить доверие своих клиентов. Следуя его указаниям, производители могут обеспечить соответствие своей продукции надлежащим уровням безопасности и конфиденциальности. Это означает, что клиенты защищены, а компании могут избежать дорогостоящих нарушений и воздействия негативной рекламы.

Что еще более важно, стандарт ETSI - это поэтапное изменение для потребителей, дающее им уверенность в том, что их безопасность, конфиденциальность и безопасность не будут подвергнуты риску из-за использования подключенных устройств.

Вы можете прочитать стандарт ETSI здесь

Автор - Алекс Ледбитер, председатель Технического комитета по кибербезопасности ETSI (TC CYBER).