Разработчик стандартов безопасности в промышленности и электроники UnderwritersLaboratories предлагает новый принцип стандартизации безопасности устройств интернета вещей сразу по нескольким категориям. В компании признают, что большая часть продуктов, находящихся сейчас на рынке, эту сертификацию не пройдет.
Поздно спохватились
Компания Underwriters Laboratories (UL), занимающаяся вопросами стандартизации и сертификации в области техники безопасности, предложила свой стандарт безопасности устройств интернета вещей.
Обладая постоянными представительствами в 46 странах мира и обслуживая более сотни, UL — одна из самых авторитетных структур в своей области. Ею разработаны стандарты безопасности для множества разных отраслей промышленности, включая экологию, строительство, промышленное оборудование, электрические и электронные продукты и т. д.
UL недавно опубликовала свой «Рейтинг безопасности интернета вещей», в рамках которого производится оценка «критических факторов безопасности smart-продуктов», где фиксируется наличие или отсутствие известных уязвимостей и устойчивость устройств перед наиболее типичными методами кибератак.
«Большинство взломов являются следствием слабых мест и известных уязвимостей, — говорится в публикации UL. — Как производитель вы должны стремиться избавиться от них и придерживаться проверенных методов обеспечения безопасности. Лишь недавно государства взялись за регулирование безопасности IoT-устройств, но они все еще полагают, что инициатива должна исходить от индустрии безопасности».
«Подобные меры следовало бы принять уже давно: количество подключенных устройств во всем мире вплотную подбирается к 50 миллиардам, а положение с их защищенностью никакого оптимизма не внушает, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Из-за этого интернет вещей становится источником постоянной угрозы для частных и корпоративных пользователей. В 2016 году ботнет, состоявший из IoT-устройств, был использован для организации одной из мощнейших DDoS-атак в истории, но это лишь один, самый известный случай. Подобные атаки, пусть и меньших масштабов, происходят постоянно. Необходима и сертификация, и законодательные меры для того, чтобы заблокировать попадание небезопасных устройств на рынок; но также необходимо, чтобы инициативу проявляли и коммерческие структуры, и конечные пользователи».
Компания SEC Consult разработала специальное решение для анализа безопасности устройств интернета вещей — IoT Inspector, которое позволяет анализировать программные оболочки таких устройств на предмет наиболее распространенных проблем – уязвимостей, вшитых паролей, ключей SSH/SSL и других факторов, сказывающихся на безопасности этих систем. В большинстве случае, указывает Галушкин, устройства оказываются уязвимыми именно в силу таких ошибок, а также небрежного отношения пользователей к своей безопасности.
Стандартов нет. Но будут?
На сегодняшний день никаких общепринятых стандартов качества и безопасности интернета вещей нет. Обилие уязвимостей превращают их в самый буквальный риск для кибербезопасности на макроуровне.
UL — не первая организация, предлагающая реализовать стандарт безопасности и сертифицировать устройства интернета вещей перед продажей. Однако UL является одной из самых респектабельных структур, занимающихся подобной деятельностью, так что у нее есть шансы заставить к себе прислушаться.
Сертифицировать устройства предлагается по семи категориям: обновление программных компонентов, данные и криптография, логическая безопасность, управление системой, пользовательские личные данные, протоколы безопасности и процесс, документирование.
Каждому из этих факторов соответствует набор практических рекомендаций по обеспечению защищенности.
Например, самым минимальным требованием в категории «данные и криптография» является отсутствие пароля по умолчанию. Для получения максимального сертификата, Diamond в той же категории устройство должно выстоять против брутфорса.
По мнению директора по безопасности и технологиям UL Эндрю Джеймисона (Andrew Jamieson), лишь небольшой процент устройств, доступных сегодня на рынке, отвечает максимальным требованиям, предъявляемым сертификацией UL, в то время как большая часть таких устройств не пройдет сертификацию даже по нижнему порогу.
Еще в июне 2019 г. UL опубликовала черновой вариант своих стандартов и требований, но Джеймисон признал, что фактически разработка этих нормативов находится на ранней стадии. Сейчас компания активно сотрудничает с производителями устройств интернета вещей в надежде на улучшение качества их разработок. В начале 2020 г. ожидается публикация новой редакции стандартов.