В Калифорнии приняли закон SB-327 о безопасности IoT-устройств. Он обязывает разработчиков смарт-систем создавать для них уникальную пару логин — пароль. Документ уже отдали на подпись губернатору штата. Рассказываем о мнении сообщества и влиянии нового закона на развитие индустрии.


/ Flickr / Al King / CC

В чем суть


Документ SB-327, который носит название «Информационная безопасность: подключенные устройства», разрабатывался сенаторами Калифорнии с февраля прошлого года. Под «подключенными устройствами» в этом случае понимаются все гаджеты, имеющие подключение к интернету, IP-адрес или Bluetooth.

Сенатор Ханна-Бет Джексон (Hannah-Beth Jackson), которая является автором законопроекта, говорит, что такой закон должен был появиться уже давно. По её словам, простые потребители редко интересуются вопросами безопасности приобретаемых ими гаджетов, потому разработчики не торопятся устранять уязвимости в защите.

Особую важность проблема приобретает в случае с детскими игрушками. В качестве примера в дополнениях к законопроекту сенаторы приводят ситуацию с куклами My Friend Cayla (документ Senate Floor Analyses от 28.08.18 числа). Они умеют общаться с детьми и переправляют записи на серверы производителя, например, чтобы проанализировать вопрос и найти на него ответ. Это создает потенциальную уязвимость для персональных данных ребенка. По этой причине в Германии вообще запретили продажу таких кукол.

Основное требование калифорнийского закона заключается в том, что каждый производитель IoT-устройств должен будет снабдить свои гаджеты «надлежащими средствами защиты». Степень защиты зависит от функции устройства и информации, которую оно использует и передает.

В законе не сказано, что имеется в виду под «надлежащей защитой», однако прописаны требования к механизмам аутентификации. Если подключенное устройство имеет выход в интернет, то его система аутентификации должна удовлетворять одному из двух критериев. Первый — производитель сам создает уникальные комбинации логина и пароля для каждого отдельного устройства. Второй — разработчик обязывает покупателя изменить стандартные заводские данные для входа при первом использовании техники.

Под действие закона попадают все компании, которые производят или продают IoT-девайсы на территории Калифорнии. SB-327 вступит в силу 1 января 2020 года.

Мнения о законе


Новый закон встретили неоднозначно. Часть пользователей и экспертов согласилась, что запрет стандартных паролей хоть немного, но повысит безопасность IoT-устройств. Однако отсутствие других конкретных требований к производителям смутило сообщество.

Специалисты по кибербезопасности приняли закон скептически. Одним из главных критиков стал Роберт Грэхем (Robert Graham), эксперт по кибербезопасности в компании Errata Security. Роберт пишет, что формулировки о «средствах защиты» слишком расплывчаты, поэтому организациям будет тяжело определить критерии для соответствия требованиям акта.

Более того, указать в законе способы противодействия конкретным угрозам невозможно, потому что новые виды атак появляются постоянно. Грэхем считает, что способы защиты IoT невозможно определить в законодательстве, и SB-327 приведет только к увеличению затрат на производство умных устройств.

Закон бесполезен и по мнению вице-президента по продукту Armis Джо Ли (Joe Lea). Его компания создает платформу для защиты IoT-сетей. По словам Джо, безопасность интернета вещей — это сложная отрасль, которая не ограничивается вопросами паролей для устройств.

Ряд экспертов по ИБ поддержали новый законопроект. Одним из таких людей стал Бо Вудс (Beau Woods), специалист по безопасности в аналитическом центре Atlantic Council. По его словам, расплывчатые формулировки в законодательстве использованы намеренно. Это позволит компаниям самостоятельно разработать требования к защите устройств.

Многие специалисты считают, что даже неидеальный закон — лучше, чем его отсутствие. Автор книг по кибербезопасности и криптограф Брюс Шнайер (Bruce Schneier) сказал, что SB-327 — шаг в верном направлении, хотя этого документа недостаточно для полноценного регулирования IoT.

«Закон должен помочь в решении проблемы несанкционированного доступа к девайсам. Однако панацеей не является, — комментирует начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru Сергей Белкин. — Уникальные и надежные пароли должны усложнить взлом смарт-гаджетов с помощью банального перебора по словарю. Однако есть множество других способов получения доступа к девайсам, например перепривязывание DNS. Этому типу атак подвержены более полумиллиарда IoT-устройств по всему миру».

Пользователи в целом поддерживают инициативу правительства Калифорнии. Резиденты Hacker News отмечают, что пароли производителей могут быть слишком предсказуемыми и совпадать с серийным номером. Но это решение лучше, чем стандартный пароль для всех устройств одной модели.

Некоторые пользователи считают закон бессмысленным. Комментатор на Slashdot указал, что чаще всего проблемы с безопасностью IoT-девайсов не решаются заменой пароля и связаны с уязвимостями в прошивке и программных модулях. Например, в 2017 году баг обнаружили в библиотеке gSOAP, которую используют производители IoT-устройств. В ходе демонстрации специалисты по безопасности взломали домашнюю камеру и получили изображение с неё.

Кто еще разрабатывает законы для IoT


Над законами по защите интернета вещей работает не только Калифорния. За прошедший год в Конгресс США внесли несколько проектов на эту тему. Среди них — Securing IoT Act of 2017 и Internet of Things Cybersecurity Improvement Act of 2017, которые требуют от федеральных агентств разработать стандартные требования безопасности к IoT-устройствам.

До этого американское правительство выпускало руководства для производителей смарт-устройств, в которых были собраны рекомендации по защите персональных данных пользователей. Например, такой документ в 2015 году опубликовала Федеральная торговая комиссия (FTC).


/ Flickr / coniferconifer / CC

В Европе тоже есть подобные документы, в частности, директива о безопасности сетей и информационных систем (NIS Directive), принятая в июле 2016 года. Она не касается интернета вещей напрямую, но устанавливает требования к защите систем компаний в критически важных сферах: энергетике, финансах, здравоохранении, транспортной отрасли. Документ содержит только список правил, а методы их реализации каждое государство Евросоюза должно определить самостоятельно.

Закон о защите IoT-устройств разрабатывает и австралийское правительство. По словам политиков, они стремятся создать сбалансированный документ, который защитит потребителей и не ограничит инновации в IoT. Для этого регулятор ведет диалог с представителями индустрии. Пока политики лишь обсуждают требования к производителям смарт-устройств.

Таким образом, калифорнийский закон стал первым, в котором формулируются общие требования ко всем производителям IoT-устройств. И хотя он неидеален, есть мнение, что директива станет ориентиром для других стран и положит начало активной работе над безопасностью умных гаджетов.

Несколько свежих материалов из нашего корпоративного блога:

Комментарии (6)


  1. servermen
    18.10.2018 21:08

    Ещё усложнится восстановление работы после сброса настроек.
    А если по делу, то гораздо лучше было бы обязать производителей выпускать обновления безопасности в течении длительного периода времени после выпуска самого устройства.


    1. Tachyon
      19.10.2018 06:26

      С последним высказыванием согласен, обязывают же автопроизводителя выпускать запчасти к снятым с производства автомобилям (законодательно, или просто наличием спроса, не важно)


  1. Tachyon
    19.10.2018 06:20

    уникальную пару логин — пароль

    Уникальная не значит надёжная… login: 123 password:321 у следующего девайса login: 124 password:322. Уникально- да, Надёжно?..

    Первый — производитель сам создает уникальные комбинации логина и пароля для каждого отдельного устройства. Второй — разработчик обязывает покупателя изменить стандартные заводские данные для входа при первом использовании техники.

    Ну вот и вторая уязвимость — сложный(?) уникальный пароль перебьётся пользователем на «123» И все будут довольны: Законодатели — есть хороший закон, Производители — мы выполняем законы, Пользователь — я пароль не забуду, Взломщик- как много денег пользователя стали моими, да ещё и за детишками можно подглядеть…

    P.S. как быть продажам в случае установки пароля при первом включении? Нет, я понимаю что есть витринные образцы, а как быть если я хочу проверить устройство в магазине? Поставить пароль, не купить, уйти, магазин делай с этим кирпичом что хочешь?


    1. dimka11
      19.10.2018 12:51

      В данном случае пользователь сам сделал устройство не безопасным.
      P.S. а как поступают с техникой apple? Там же устройство привязывается к аккаунту и может быть заблокировано.


    1. nidheg666
      19.10.2018 13:50

      «Законодатели — есть хороший закон...»

      это не так работает =) это получается что есть благая утопичная идея с паролями…
      законодатели: давайте ка мы выпустим непродуманный кривой закон.
      / далее вступают /
      производители: опять регуляция? ладно, дунем плюнем и скрепим костылями.
      /и в конце/
      пользователь: я что должен помнить все эти логины? нафиг, пусть будет «123».


    1. servermen
      19.10.2018 23:03

      Вот у кого-то проблемы со входом после сброса настроек. И подобные вопроса у людей периодически образуются.