Внедрение

Интернет вещей нуждается в стандарте кибербезопасности

8 Апреля 2024
Интернет вещей нуждается в стандарте кибербезопасности

Чем больше интеллектуальных устройств мы привносим в нашу жизнь, тем более серьёзной проблемой становится кибербезопасность. Например, только в первой половине 2019 года ловушки Касперского выявили более 1,5 миллиарда атак на потребительские IoT-устройства. Чтобы минимизировать эти риски кибербезопасности, группа ETSI (Европейский институт телекоммуникационных стандартов) в 2021 году создала стандарт — ETSI EN 303 645.

Стандарт обеспечивает глобальную основу для безопасности подключённых потребительских устройств IoT, усиливая его предшественника — TS 103 645.

Было привлечено множество экспертов из научных кругов, промышленности и правительства, в результате чего было разработано 13 надёжных положений, предназначенных для предотвращения крупномасштабных кибератак, таких как печально известная атака ботнета Mirai в 2016 году, которая заразила сотни тысяч устройств:

1. Никаких универсальных паролей по умолчанию.

2. Внедрить средства управления отчётами об уязвимостях.

3. Постоянно обновляйте программное обеспечение.

4. Надёжно храните конфиденциальные параметры безопасности.

5. Общайтесь безопасно.

6. Минимизируйте открытые поверхности атаки.

7. Обеспечьте целостность программного обеспечения.

8. Обеспечьте защиту персональных данных.

9. Сделайте системы устойчивыми к сбоям.

10. Изучите данные телеметрии системы.

11. Упростите для потребителей удаление личных данных.

12. Упростите установку и обслуживание устройств.

13. Проверьте входные данные.

Кроме того, некоторые положения соответствуют законам о конфиденциальности данных, таким как GDPR. Например, производители должны предоставлять потребителям чёткую информацию о том, какие данные собираются, как они используются и как их можно удалить.

Слово «потребитель» находится в центре данного стандарта. Это распространяется на подключённые или «умные» устройства, которые сегодня может иметь дома любой человек. Например, смарт-телевизоры, колонки, системы сигнализации, дверные замки, детекторы дыма, радионяни и так далее – целых 16 подключённых устройств, каждое из которых имеет точку входа в домашнюю сеть. Таким образом, действие стандарта ETSI EN 303 645 распространяется на централизованную точку доступа для различных устройств.

Производители Интернета вещей обычно не создают свои операционные системы (ОС), поскольку это дорого и отнимает много времени. Глобальные технологические компании будут предоставлять обновления ОС миллионам пользователей.

Кроме того, продавец или производитель устройства IoT часто не является комплексным разработчиком аппаратного или программного обеспечения устройства, а это означает, что внутренняя работа устройства часто скрыта.

Любой, кто хочет получить эту информацию, может использовать подход «хрустального ящика» или «чёрного ящика».

Подход «хрустальный ящик»: производители заранее предоставляют исходный код и дизайн. Это случается редко, но позволяет провести аудит исходного кода, чтобы определить, как устанавливаются и поддерживаются границы доверия.

Подход «чёрный ящик»: более распространённый подход, при котором необходимо провести реверс-инжиниринг прошивки, чтобы получить чёткое представление о том, что происходит внутри устройства.

По сути, производители должны доказать, что их потребительские устройства IoT соответствуют стандарту ETSI EN 303 645, пройдя оценку, проводимую сторонней испытательной лабораторией.

Как правило, процесс оценки состоит из того, что:

• Производители сначала заполняют два ключевых документа, которые предоставляют информацию для оценки устройства: Заявление о соответствии реализации (ICS). Это указывает, каким требованиям ETSI EN 303 645 соответствует или не соответствует устройство IoT.

• Второй — это дополнительная информация о реализации для тестирования (IXIT), в которой представлены детали конструкции для тестирования.

• Испытательная лаборатория оценит и протестирует продукт на основе двух документов. Будет предоставлен отчёт, подтверждающий соответствие продукта стандарту ETSI EN 303 645.

Хотя стандарт ETSI EN 303 645 не является всеобъемлющим, он устанавливает достижимый базовый стандарт безопасности для заинтересованных сторон IoT. Стандарт также повышает уверенность потребителей в безопасности повседневных «умных» продуктов. Сопровождающая этикетка соответствия также поможет потребителям легко идентифицировать продукты, которые они могут с уверенностью купить.


Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал

По материалам открытых источников

Короткая ссылка:  vestnik-glonass.ru/~og8o5
18.07.2025
Китай освоил вертикальную посадку ракеты
Успешная посадка «Тяньлун-2» — это не просто техническое достижение. Она показывает, что Китай активно развивается в космической отрасли.
15.07.2025
Андрей Никитин: Весной 2026 года в России заработает система идентификации беспилотных летательных аппаратов
К весне 2026 года в России заработает система идентификации беспилотных летательных аппаратов, сообщил на встрече с Президентом РФ Андрей Никитин, исполняющий обязанности министра транспорта.
15.07.2025
На подходе – европейский Закон о космосе
В отсутствие чётких правил Европейский союз предложил Закон о космосе – комплекс мер, призванный сделать европейский космический сектор более чистым, безопасным и конкурентоспособным как на внутреннем, так и на международных рынках.
11.07.2025
АО «Агат»: Может ли окупиться проект спутникового мегасозвездия?
В статье, опубликованной в журнале «Экономика космоса», был проведён анализ эффектов, которые возникают благодаря вертикальной интеграции, массовому производству спутников и абонентского оборудования, а также переходу к работе в высокомаржинальных отраслевых сегментах.

СТАТЬИ ГЛОНАСС

Киберугрозы как реальность сегодняшнего дня
В 2024 году в нашей стране было зарегистрировано более 765 тысяч правонарушений, совершённых с применением информационно-телекоммуникационных технологий, что составляет приблизительно 40% от общего объёма преступлений. Такие данные приводит новостной сайт Центра международной торговли со ссылкой на МВД РФ. В этом году их будет зарегистрировано ещё больше – можно ни разу не сомневаться. Цифровизация проникла во все сферы деятельности, сделав нашу жизнь продвинутой и комфортной – мы привыкли мгновенно оплачивать всё что хочешь через банковские приложения, управлять бизнесом в облаке, общаться в социальных сетях и одним кликом скупать содержимое маркетплейсов. Увы – вслед за этими удобствами идут массовые утечки персональных данных, промышленный шпионаж, репутационные риски, угрозы национальной безопасности и пр. Это не только экономические потери, но и серьёзные вызовы для государственного суверенитета и общественного доверия к цифровым системам.
Когнитивная разгрузка: зло или благо?
Если верить Платону, его коллега и учитель Сократ видел в письменности большую угрозу для человечества. Письмо, говорил он, «вселит забвение в души людей», так как они перестанут развивать память и в дальнейшем будут полагаться исключительно на закорючки, нацарапанные на пергаменте.
Американский космос переходит на голодный паёк
Примирением и лобызанием (виртуальным, конечно) закончилась ссора между Дональдом Трампом и Илоном Маском, от которой весь мир на некоторое время буквально встал на уши. Подоплёкой послужило значительное сокращение государственных программ США, в том числе субсидий на электромобили. Вслед за этим Трамп пригрозил перекрыть Маску бюджетный поток, благодаря которому тот стал «лучшим бизнесменом всех времён и народов».
Все статьи