Стандарт ETSI IoT:достаточно ли регуляторов для защиты устройств IoT?

Объявление нового стандарта безопасности Интернета вещей (IoT) от ETSI Технический комитет в июне 2020 года очень приветствовали в индустрии информационных технологий. ETSI EN 303 645 устанавливает базовый уровень безопасности для продуктов, подключенных к Интернету, и излагает 13 положений, в которых описываются шаги, которые производители могут предпринять для защиты устройств и обеспечения соответствия. Алан Грау , вице-президент по Интернету вещей и встроенным решениям, Sectigo отчеты.

Новое постановление следует за растущей тенденцией, когда законодатели и регулирующие органы осознают насущную проблему кибербезопасности в Интернете вещей. После принятия Калифорнийского закона SB-327, вступившего в силу в начале 2020 года, и австралийского «Проект кодекса практики:обеспечение безопасности Интернета вещей для потребителей» от 2019 года стало ясно, что правительства и международные организации начинают решать бросить вызов.

Когда в январе 2020 года Великобритания объявила о своей новой структуре Интернета вещей, этот шаг усилил аргумент, что безопасность Интернета вещей была недостаточной в течение многих лет, и регулирующие органы были готовы это исправить.

Однако остается вопрос:достаточно ли этих законов и стандартов для обеспечения безопасности устройств Интернета вещей?

Роль законодательства в обеспечении безопасности Интернета вещей

Многие годы устройства будут работать в закрытых частных сетях, защищенных защищенным периметром. С появлением Интернета эти системы стали все больше связаны друг с другом через TCP / IP. Преимущества этого широко обсуждались, поскольку устройства IoT занимают центральное место в жизни потребителей, а также в корпоративных сетях. И их рост остается неудержимым:аналитическая компания IDC прогнозирует, что к 2025 году будет использоваться 41,6 миллиарда подключенных устройств Интернета вещей.

Однако законодательный консенсус не смог угнаться за этим ростом. По мере расширения рынка новые поставщики и производители часто снижают цены у конкурентов, чтобы создать популярное и доступное предложение для выхода на рынок. Сокращение затрат позволяет быстро вывести решения на рынок, но очень немногие из них вкладывают достаточно времени и усилий в организацию, чтобы включить соответствующие уровни аутентификации и безопасности.

В отсутствие эффективной законодательной базы IoT производители потратили десятилетия на выпуск устройств с минимальной или отсутствующей встроенной системой безопасности, часто с только статическими учетными данными в качестве барьера для киберпреступников. Если безопасность не станет обязательной, производители будут продолжать сокращать углы за счет безопасности. Только законодательство и тщательное управление могут гарантировать, что безопасность Интернета вещей реализована на этапе проектирования, на этапе производства и на протяжении всего жизненного цикла устройства.

Маленькие шаги к безопасности

С одной стороны, приятно видеть прогрессивные шаги, предпринимаемые для защиты устройств Интернета вещей. С другой стороны, очевидно, что необходимо внести еще больше изменений и достичь более широкого консенсуса.

Если посмотреть на США, например, SB-327 изложил производителям четкую основу для использования средств безопасности и аутентификации следующего поколения. Это был важный шаг, предназначенный для нацеливания на бот-сети, которые выявили серьезные недостатки в предшествующих методах обеспечения безопасности. К сожалению, это был отдельный закон, специфичный для штата Калифорния и не имеющий обязательной силы на национальном уровне.

Глядя сквозь призму ETSI EN 303 645, можно прийти к аналогичному выводу. Это результат сотрудничества между представителями отрасли, учеными и правительствами, но при этом новый стандарт не имеет юридической силы и не имеет обязательной силы.

Несмотря на то, что он представляет собой единую цель для производителей и заинтересованных сторон IoT, в отрасли все еще будут некоторые люди, которые склонны внедрять слабые процессы безопасности, потому что это дешевле и часто просто потому, что они могут, без привлечения к ответственности.

Важно создать передовые стандарты, которые решают проблему безопасности в Интернете вещей, но это необходимо дополнить законодательной повесткой дня, которая гарантирует, что производители соблюдают структуру кибербезопасности при создании устройств.

Почему лучше всего встроенные?

Понятно, что правительствам и отраслевым органам необходимо быть более активными в достижении консенсуса по безопасности IoT, но ведется некоторая дискуссия о том, какие передовые методы защиты этих устройств. То, что сейчас широко известно, - это важность встроенной безопасности и аутентификации PKI на этапе производства. В условиях все более запутанной цепочки поставок упор делается на OEM, чтобы гарантировать безопасность устройства в момент его создания.

Для аутентификации и шифрования устройства PKI должна быть встроена, чтобы злоумышленники не могли вмешаться в нее дальше по цепочке поставок. Только в том случае, если набор микросхем аутентифицирован и защищен сертификатами от литейной стадии производства, он останется безопасным на протяжении всего жизненного цикла устройства.

Глобальные цепочки поставок - время для глобальных стандартов?

Интернет вещей обеспечивает беспрецедентную связь между устройствами, людьми и предприятиями, но также несет риски для домашних и деловых сетей. Стремительный рост отрасли усложнил производственный процесс, поэтому теперь устройства создаются в чрезвычайно сложных цепочках поставок и за рубежом.

Для решения этой проблемной задачи законодательным органам пора работать вместе, чтобы создать глобальный консенсус, который защищает устройства на всех этапах их жизненного цикла. Только так будут оставаться в безопасности цепочки поставок и конечные продукты, а риски для собственности, жизни и безопасности данных будут сведены к минимуму.

Автор - Алан Грау, вице-президент по Интернету вещей и встраиваемым решениям, Sectigo.