Чтобы быть успешным в долгосрочной перспективе, IoT должен быть защищен, по крайней мере, так говорят люди. В 2016 году UL ввела стандарт безопасности UL 2900 IoT, но установила планку настолько высоко, что никто не стал его использовать. В прошлом году была введена система рейтинга безопасности UL IoT с различными рейтингами безопасности IoT-устройств от Bronze до Diamond.
Система оценки была основана на стандарте различных стран/регионов, включая стандарт ETSI TS 103 645 для европейского рынка, который определял требования в отношении обновлений программного обеспечения, данных и криптографии, логической безопасности, управления системой, защиты конфиденциальности, безопасности протокола, а также процессов и документов.
Технический комитет ETSI по кибербезопасности (TC CYBER) выпустил обновление стандарта безопасности IoT TS 103 645 – ETSI EN 303 645, «которое устанавливает базовый уровень безопасности для потребительских продуктов, подключенных к Интернету, и обеспечивает основу для будущих схем сертификации IoT».
Существует тринадцать положений о кибербезопасности – 13 предписаний безопасности IoT – которые могут по-разному применяться к «простым» и «сложным» IoT-устройствам:
- Нет универсальных паролей по умолчанию – все пароли потребительских IoT-устройств должны быть уникальными для каждого устройства или определены пользователем.
- Внедрение средств управления отчетами об уязвимостях. Производитель должен сделать политику раскрытия уязвимостей общедоступной, и следует своевременно реагировать на обнаруженные уязвимости.
- Постоянное обновление программного обеспечения – все программное обеспечение должно обновляться и поддерживаться в рабочем состоянии. Стандарт определяет 12 положений, детализирующих требования, включая автоматические безопасные обновления программного обеспечения.
- Надежное хранение конфиденциальных параметров безопасности. Параметры безопасности в постоянном хранилище должны надежно храниться устройством с защитой от взлома и другими мерами безопасности.
- Безопасная связь – потребительское IoT-устройство должно использовать передовой метод криптографии для безопасной связи.
- Минимизируйте открытые поверхности атаки – отключайте неиспользуемые интерфейсы, не подвергайте ненужному воздействию физические интерфейсы, неиспользуемый код должен быть удален и т. д…
- Обеспечение целостности программного обеспечения. Потребительское IoT-устройство должно проверить свое программное обеспечение с использованием механизмов безопасной загрузки и предупредить пользователя и/или администратора в случае несанкционированных изменений.
- Убедитесь, что личные данные защищены. Конфиденциальность личных данных, передаваемых между устройством и сервисной службой, должна быть защищена с помощью наилучшей практики криптографии, а возможности внешнего зондирования устройства должны быть четко задокументированы.
- Сделать системы устойчивыми к сбоям – например, потребительские IoT-устройства должны оставаться работоспособными в случае потери доступа к сети и должны восстанавливаться корректно в случае восстановления потери питания.
- Изучение данных телеметрии системы. Если данные телеметрии собираются от пользовательских устройств и услуг IoT, таких как данные об использовании и измерениях, их следует проверять на наличие аномалий безопасности.
- Упростите пользователям удаление пользовательских данных. Необходимо предусмотреть простой способ удаления личных и пользовательских данных с устройства.
- Упростите установку и обслуживание устройств. Установка и обслуживание IoT устройств должны включать в себя минимальные решения пользователя и указания по безопасности.
- Проверка входных данных. Программное обеспечение IoT-устройства потребителя должно проверять ввод данных через пользовательские интерфейсы или передаваться через интерфейсы прикладного программирования (API) или между сетями в службах и устройствами.
Также есть раздел о мерах защиты данных для IoT потребителя. Вы можете получить доступ ко всем базовым требованиям стандарта.
Стандарт распространяется на различные IoT-устройства, в том числе:
- Подключенные детские игрушки и радионяни
- Подключенные детекторы дыма, дверные замки и датчики окон
- IoT-шлюзы, базовые станции и концентраторы, к которым подключаются несколько устройств
- Умные камеры, телевизоры и колонки
- Носимые трекеры здоровья
- Подключенные системы домашней автоматизации и сигнализации, особенно их шлюзы и концентраторы
- Подключенные приборы, такие как стиральные машины и холодильники
- Smart Home assistants.
Мы предполагаем, что система рейтинга безопасности UL IoT будет обновлена в соответствии со стандартом ETSI EN 303 645, но, на этом этапе, нам не удалось найти подробностей. Стандарт, вероятно, является необязательным, поэтому вам нужно специально искать соответствие ETSI EN 303 645 для продукта, но может потребоваться некоторое время, прежде чем это произойдет, потому что для создания полной схемы сертификации требуется дополнительная работа.
Выражаем свою благодарность источнику из которого взята и переведена статья, сайту cnx-software.com.
Оригинал статьи вы можете прочитать здесь.