NIST публикует проект рекомендаций по безопасности для производителей IoT

Новые рекомендации NIST предлагают добровольные действия, связанные с кибербезопасностью, которые производители должны рассмотреть перед тем, как их устройства IoT будут проданы клиентам.

Национальный институт стандартов и технологий (NIST) опубликовал второй проект своих рекомендаций для производителей устройств Интернета вещей (IoT).

В нем федеральное агентство задает ряд вопросов и оценок, которые необходимо выполнить до коммерциализации, направленных на «снижение распространенности и серьезности компрометации устройств IoT».

Основные моменты включают:

• Определите ожидаемых клиентов и определите ожидаемые варианты использования устройств IoT: Это первое замечание NIST, и оно очень важно. Выяснив, для чего будет использоваться устройство, где оно будет использоваться и к чему оно будет подключено, производитель может выявить слабые места и устранить их перед продажей.

• Исследуйте цели кибербезопасности клиентов: Это следует из первого пункта, выявляя слабые места до того, как устройство будет отправлено. NIST спрашивает, как устройство будет взаимодействовать с физическим миром, как к нему будет осуществляться доступ, кто будет его контролировать, какие данные оно будет хранить и каким правилам оно должно соответствовать. Калифорния недавно приняла закон штата о безопасности IoT, и мы можем ожидать, что в этом году то же самое сделают и другие штаты и страны.

• Определить, как достичь целей клиентов: Выяснив внешние угрозы, производители устройств должны рассмотреть вопрос об усилении встроенной безопасности, выяснив идентификацию устройства, конфигурацию, защиту данных, ограничения логического доступа, обновления программного обеспечения и прошивки.

• Определить подходы к общению с клиентами: Как только продукт поступает в продажу, производители должны иметь возможность общаться с покупателями по любым вопросам. NIST рекомендует производителям максимально упростить понимание и доступ к информации.

• Решите, что и как сообщать клиентам: Одно из самых больших опасений покупателей заключается в том, что их устройство потеряет все функциональные возможности, как только производитель прекратит поддержку. NIST рекомендует производителю разъяснить клиенту, как долго он намерен предоставлять поддержку и какие функции будет иметь устройство после прекращения поддержки.