Нормы безопасности Великобритании для Интернета вещей побуждают потребителей быть более осведомленными

Правительство Великобритании продвигает свои планы по регулированию устройств IoT. Этот шаг следует широкой глобальной тенденции, направленной на то, чтобы попытаться заблокировать растущий, но небезопасный мир Интернета вещей, говорит Майк Нельсон, вице-президент по безопасности Интернета вещей в DigiCert . .

Слишком долго устройства Интернета вещей (IoT) были выброшены на рынок, изобилуя уязвимостями, которые угрожают новым странным типам катастроф для пользователей. От атак, использующих саму функциональность IoT-устройства - например, взломанного автомобиля или куклы, которую можно превратить в устройство удаленного наблюдения, - до таких событий, как атаки Mirai, которые угрожали интернет-инфраструктуре в крупном масштабе. Именно по этим причинам правительство Великобритании активизировало свои действия.

Правила призваны основываться на Кодексе норм 2018 - Безопасность благодаря дизайну - который предлагает производителям устройств Интернета вещей, а также потребителям ряд рекомендаций о том, как безопасно создавать и использовать устройства Интернета вещей. Они включают предложения по безопасному хранению учетных данных и других данных безопасности, минимизации уязвимых поверхностей для атак, обеспечению целостности и непрерывного обновления программного обеспечения на устройствах IoT, а также обеспечению безопасной связи между устройствами.

В своде правил было добавлено, что он внедрялся в надежде, что люди будут его соблюдать, и если они этого не сделают, правительство начнет делать эти руководящие принципы обязательными. Похоже, это наконец-то произошло, и регулирующие органы теперь сделают как минимум три из этих правил обязательными.

Три правила

Во-первых, пароли Интернета вещей должны быть уникальными и не сбрасываться до заводских по умолчанию, что позволяет злоумышленнику просто найти этот пароль.

Во-вторых, производители должны иметь публично рекламируемое контактное лицо для раскрытия уязвимостей, позволяющее своевременно сообщать об ошибках и исправлять их.

В-третьих, производители должны четко указать минимальный период времени, в течение которого устройство будет получать обновления безопасности, чтобы потребители могли планировать отключение или принимать другие решения по безопасности на этой основе.

Устройства, которые соответствуют требованиям, смогут с гордостью носить печать, означающую одобрение правительством безопасности этого конкретного продукта. Это может показаться простым ходом, но он коренным образом меняет отношения между безопасностью Интернета вещей и потребителем.

Безопасность Интернета вещей оставлена ​​на усмотрение производителей

В то время как безопасность Интернета вещей до сих пор оставалась на усмотрение производителей, а затем, возможно, групп безопасности предприятия, которые должны были исправить это постфактум, схема сертификации Secure by Design наконец передает эти решения по безопасности в руки потребителя. Теперь они могут принимать эти решения, прежде чем вводить слабо защищенные, уязвимые устройства в сеть, в остальном защищенную.

Теперь, когда потребители могут учитывать безопасность при покупке устройств IoT, они могут стать конкурентным преимуществом. До сих пор производители создавали небезопасные устройства в основном потому, что им это было дешевле. На рынке не было спроса на создание безопасных устройств, да и мало что могло бы сделать это выгодным для них.

Маркировка устройств и представление безопасности в качестве конкурентного преимущества для потребителей заставят производителей задуматься о том, как они могут меньше терять и получать больше, думая о безопасности, начиная со стадии проектирования. Как только потребители будут заботиться, производители тоже начнут заботиться об этом.

Расчет произведен слишком поздно

Это простой расчет, сделанный слишком поздно. Слишком долго ответственность за обеспечение безопасности своих продуктов IoT была возложена на производителей, и ни кнутом, ни кнутом они не двигались. Это не решит всех проблем безопасности, но это похвальный ответ на проблему, которая долгое время преследовала эту область. Правительства по всему миру начинают делать кнуты, но в Secure by Design и в ее схеме сертификации есть умная особенность:в ней тоже есть пряник.

Автор - Майк Нельсон, вице-президент по безопасности Интернета вещей, DigiCert

Об авторе

Майк Нельсон - вице-президент по безопасности Интернета вещей в DigiCert, глобальном провайдере цифровой безопасности. В этой роли Майк наблюдает за стратегическим развитием компании на рынке различных критически важных инфраструктурных отраслей, обеспечивающих безопасность высокочувствительных сетей и устройств Интернета вещей (IoT), включая здравоохранение, транспорт, промышленные операции, а также внедрение интеллектуальных сетей и умных городов. Майк часто консультируется с организациями, публикует сообщения в СМИ, участвует в отраслевых органах по стандартизации и говорит на отраслевых конференциях о том, как можно использовать технологии для повышения кибербезопасности критически важных систем и людей, которые на них полагаются.

Майк провел свою карьеру в сфере информационных технологий в сфере здравоохранения, в том числе работал в Министерстве здравоохранения и социальных служб США, GE Healthcare . и Leavitt Partners - бутик-консалтинговая фирма в сфере здравоохранения. Увлечение Майка этой отраслью связано с его личным опытом диабета 1 типа и использованием подключенных технологий в своем лечении.