Новый закон создаст новые стандарты безопасности для устройств Интернета вещей

От домашней сигнализации, такой как Google Nest, до роботов-помощников, Alexa, например, растущая зависимость от подключения к Wi-Fi в повседневных устройствах открывает множество возможностей для хакеров, утверждает Людовик Ф. Ремберт, руководитель отдела исследований Privacy Canada. Отрасли и правительства пытались понять, как повысить кибербезопасность, чтобы не отставать от этой растущей тенденции.

В начале декабря прошлого года был подписан двухпартийный Закон о совершенствовании кибербезопасности IoT. Закон устанавливает минимальные стандарты кибербезопасности для всех устройств IoT, находящихся под контролем правительства США. Использование этих устройств, способы управления и обслуживания, а также оптимизированная система отчётности об уязвимостях – всё это аспекты, которые рассматриваются в новом законе.

Определённую роль в этом сыграл Национальный институт стандартов и технологий (NIST), предоставив стандарты, на которых основан закон. Они распространяются только на устройства, приобретённые или управляемые правительством США. Однако высокая покупательная способность правительства может стать стимулом для производителей принять аналогичные стандарты для всех устройств IoT.

Этот закон был принят в конце года, когда наблюдался всплеск киберпреступности, в основном из-за пандемии коронавируса. Более 80% организаций сообщили об увеличении количества хакерских атак в прошлом году, при этом финансовый ущерб из-за киберпреступлений в 2021 году оценивается в $6 триллионов.

В частности, в прошлом году стали жертвами изощренных киберпреступников со всего мира медицинские организации, фармацевтические компании и пациенты. Особенно сильно пострадали от уязвимостей в сфере Интернета вещей медработники, поскольку многие медицинские устройства теперь используют подключение к интернету для различных целей.

Недавняя атака на софтверную компанию SolarWinds раскрывает риск кибербезопасности в правительственных учреждениях: более 18 000 пользователей пострадали от вредоносного ПО. Эта атака демонстрирует, как инцидент взлома может привести к нарушению цепочки поставок, что может затронуть большие слои населения.

Пользователи убаюкивают себя при просмотре веб-страниц, и у многих из них нет проблем с покупками и банковскими операциями в интернете. Для большинства пользователей простого знания о том, что любой веб-сайт, на котором они совершают покупки, имеет сертификат PCI-DSS для обеспечения безопасной транзакции по их кредитной карте, достаточно, чтобы указать, что сайт безопасен для размещения их финансовой информации.

Действительно, сертификация PCI может обеспечить более безопасную передачу онлайн-данных, требуя сквозного шифрования данных о держателях карт и брандмауэров, чтобы заблокировать попытки любых неизвестных лиц получить доступ к указанным данным. Компании и поставщики, которые также полагаются на сертификацию PCI-DSS для своих устройств Интернета вещей, могут значительно снизить вероятность компрометации данных клиентов или бизнеса, но обеспечить полную безопасность не так просто.

Закон об IoT-кибербезопасности 2020 года содержит много положений, которые будут способствовать более единообразным и безопасным способам развёртывания устройств IoT в будущем. Закон охватывает разработку, управление, настройку и установку исправлений для устройств IoT, гарантируя, что кибербезопасность остается в центре внимания на протяжении всего жизненного цикла.

Растущая популярность устройств IoT означает, что иногда устройства запускаются в производство с целью продать их как можно больше в кратчайшие сроки, от чего часто страдает безопасность. В этом сценарии уязвимости не могут быть обнаружены, пока устройство не станет широко распространённым. На этом этапе многие компании могут игнорировать устранение слабых мест в своих устройствах, боясь повлиять на продажи.

Один из способов избежать этого – выпуск своих устройств с помощью приложений Динамического Тестирования Безопасности Приложений (DAST), которые постоянно сканируют и тестируют приложения вашего устройства IoT на наличие уязвимостей во время их работы. Как отмечает Cloud Defense, это эффективно, потому что там используются те же методы, которые киберпреступники обычно используют для выявления уязвимостей.

Закон о совершенствовании кибербезопасности Интернета вещей обязывает всех подрядчиков и субподрядчиков, участвующих в государственных проектах, сообщать о новых уязвимостях и устранять их по мере их возникновения. Такой уровень прозрачности гарантирует, что правительство будет полностью информировано о рисках и сможет отточить этот законодательный орган, чтобы он лучше соответствовал будущему цифровому миру. NIST, например, должен обновлять свои руководящие принципы каждые пять лет, чтобы идти в ногу с быстрым развитием этой отрасли.

Во время карантина из-за коронавируса в 2020 году организации стали больше полагаться на удалённую работу. Компании, у которых никогда не было политики работы на дому, должны были быстро убедиться, что удалённые сотрудники имеют все инструменты, необходимые для выполнения своих профессиональных задач дома.

Преимущества компьютеризации стали очевидными, особенно для тех организаций с удалёнными сотрудниками, у которых ранее не было домашнего офиса. Возможность хранить и обмениваться документами и инструментами в Интернете и получать к ним доступ с любого компьютера или телефона, подключённого к Wi-Fi, стала незаменимой в культуре удалённой работы.

По словам IT-эксперта и разработчика программного обеспечения из Торонто Гэри Стивенса из Hosting Canada, слово «облако» может не генерировать образы надёжной безопасности, но на самом деле это довольно безопасный метод передачи данных – при условии, что вы используете ноутбук или смартфон.

Стивенс отмечает: «Облако хранения является основным средством хранения наших данных в интернете, поэтому очень важно, чтобы оно было подальше от хакеров и вредоносного программного обеспечения, но по-прежнему легко в использовании и доступно с любого устройства. К счастью, эта проблема была решена несколькими компаниями, предоставляющими облачный хостинг, которые сделали безопасность своим главным приоритетом и, таким образом, стали предпочтительным выбором для предприятий, которые также ценят безопасность и конфиденциальность данных ».

К сожалению, облачная умная бытовая техника – это как раз наоборот. Гаджеты Интернета вещей, обнаруженные во многих домах, очень уязвимы для взлома, некоторые из которых в прошлом году были предметом увлекательных заголовков, в том числе хакеры, получившие возможность включать и выключать свет, а в некоторых случаях даже слышать, что происходит в доме через уязвимые устройства умного дома.

Это лишь некоторые из наиболее шокирующих примеров уязвимостей, обнаруженных в устройствах Интернета вещей за последние несколько лет, которые продемонстрировали необходимость в более надежных протоколах безопасности, таких как Закон о повышении кибербезопасности.

Закон о совершенствовании кибербезопасности IoT, по мнению издания IoT Business News , шаг к более безопасному цифровому будущему. Он не касается нарушений безопасности, которые произошли в прошлом, или новых уязвимостей, которые могут быть использованы в будущем, поскольку он ориентирован только на правительственные устройства. Однако это важное движение в правильном направлении, поскольку общество продолжает бороться с опасностями и рисками цифровой жизни. 

Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный канал на TamTam