Число ботнетов на базе умных гаджетов постоянно растет. На ситуацию начали обращать внимание регуляторы. Мы решили обсудить обстановку в разных странах и можно ли наконец поставить букву S (stands for security) в аббревиатуру IoT.
Погружение в контекст
Безопасность интернета вещей — старая тема. Исследованиями в этой области занимаются больше десяти лет. Однако один из первых законов, направленных на защиту IoT-гаджетов, приняли только в 2018 году в Калифорнии. Документ обязывает производителей умных устройств генерировать для них уникальные комбинации логина и пароля. Они также могут разработать специальный механизм, который вынудит покупателя изменить стандартные данные для входа при первом запуске.
С тех пор о безопасности IoT заговорили на федеральном уровне, а новые законопроекты на эту тему готовят в Европе. Так, Еврокомиссия прорабатывает «Закон о киберустойчивости» (Cyber Resilience Act) и схему сертификации. По сути, это набор норм, которым должны соответствовать все умные устройства, продаваемые на территории союза.
Правила затронут весь производственный цикл IoT. Разработчики будут сообщать регулятору обо всех обнаруженных уязвимостях, а также предоставлять обновления безопасности на протяжении пяти лет. Стоит заметить, что новые правила не относятся к открытому аппаратному обеспечению (но только если оно не предназначено для продажи). За нарушения предусмотрены оборотные штрафы в стиле GDPR.
Вопрос защиты IoT также решает правительство Великобритании. В конце прошлого года там представили свой нормативный документ — Product Security and Telecommunications Infrastructure bill (PST). По аналогии с калифорнийским законодательством он запрещает разработчикам умных гаджетов устанавливать однообразные пароли, но вводит и дополнительные требования.
В частности, производители должны сообщать покупателям, как долго будут выходить обновления безопасности для устройств, и запустить канал (если его нет), по которому пользователи могут сообщить об уязвимостях. За соблюдением требований будет следить пока не назначенный регулятор. Он получит право выписывать штрафы до 4% годового оборота компании.
Над ужесточением законодательства в сфере IoT также работают в Китае и Японии.
Подводные камни
В большинстве случаев организации по защите прав потребителей вроде The European Consumer Organisation (BEUC) тепло отзываются о нововведениях. Взлом всего одного умного продукта ставит под угрозу безопасность целой организации и её поставщиков. И новое регулирование — это еще один шаг к усилению корпоративного периметра. Однако предлагаемых мер все же может быть недостаточно.
Есть мнение, что исключение однообразных паролей создает новые проблемы. Как быть, если пользователь забыл данные аутентификации, а условную колонку, датчик или маршрутизатор нужно передать в сервисный центр на диагностику? Вероятно, производители должны будут создать аккаунты суперпользователей или внедрить бэкдоры. Но информация о них может легко попасть в руки злоумышленников.
Некоторые опасения также вызывает требование предоставлять обновления безопасности на протяжении установленного времени. Есть вероятность, что производители IoT-устройств будут предлагать скидки на девайсы, срок обслуживания которых подходит к концу. По итогу клиенты будут покупать продукты, которые уже в ближайшем будущем окажутся без поддержки.
В целом эксперты считают, что в вопросах безопасности интернета вещей регуляторы делают недостаточно и движутся слишком медленно. Большинство новых правил касаются лишь производителей умных устройств для домашнего пользования и не затрагивают вопросы, связанные с безопасностью «подключённых автомобилей», медицинского оборудования и даже обычных персональных компьютеров.
Этого недостаточно
Эксперты отмечают, что законодательное регулирование в сфере IoT полезно, но необходимо привлекать к проблеме внимание пользователей. Среди оригинальных предложений — внедрять систему звуковых сигналов в девайсы, которым требуется проверка безопасности или установка обновления (по аналогии с пикающими датчиками дыма). Хотя к таким решениям стоит подходить осторожно, так как не каждый захочет иметь дело с противно пищащими устройствами.
Параллельно производителям стоит рассказывать людям о рисках и угрозах для умных девайсов, а также поработать над приложениями и интерфейсами, чтобы сделать процесс обновления как можно более бесшовным.
Дополнительное чтение в нашем блоге на Хабре:
И в корпоративном блоге VAS Experts:
Комментарии (4)
FunnyBlort
29.09.2022 11:49Во первых - не забываем про этот вот аккаунт. https://twitter.com/internetofshit?lang=en - как раз таки ругают (и ржут) по поводу всякого internet of things хлама.
Во вторых - не нужно делать софтварные бэкдуры. Можно делать хардварные - I/O pin'ы никто не отменял, и после handshake'а с заводским пин-кодом - техцентру можно будет влезть в AIO чип на прямую. Да это ровно на две минуты больше - нужно подцепиться к специальным выводам с дорожек. НО - цимес в том что как раз таки злоумышленнику будет труднее влезть физически на локации, нежели специалисту СЦ когда это дело разобрано и у него на столе и легально.
TheDenis
29.09.2022 19:55Океееей. Заводской PIN-код попадает к злоумышленникам и мы пришли к тому, от чего пытались уйти.
FunnyBlort
29.09.2022 20:01Ну ок попадает он. Дальше что? 95% IoT девайсов взламываются удалённо. Заводской пин - читается только локально когда физически подключен к "пробам" на плате. Ещё раз говорю - I/O никто не отменял:
Z2K
"IoT-устройств", "Взлом всего одного умного продукта, "о рисках и угрозах для умных девайсов" - а законодатель определяет что это за устройства? Стиралка, холодильник с выходом в интернет, планшет, ПК, телевизор, кофеварка и т.д. - они подпадают под определение "умного устройства"? Как-бы 100% должны.