Внедрение

Интернет вещей нуждается в стандарте кибербезопасности

8 Апреля 2024
Интернет вещей нуждается в стандарте кибербезопасности

Чем больше интеллектуальных устройств мы привносим в нашу жизнь, тем более серьёзной проблемой становится кибербезопасность. Например, только в первой половине 2019 года ловушки Касперского выявили более 1,5 миллиарда атак на потребительские IoT-устройства. Чтобы минимизировать эти риски кибербезопасности, группа ETSI (Европейский институт телекоммуникационных стандартов) в 2021 году создала стандарт — ETSI EN 303 645.

Стандарт обеспечивает глобальную основу для безопасности подключённых потребительских устройств IoT, усиливая его предшественника — TS 103 645.

Было привлечено множество экспертов из научных кругов, промышленности и правительства, в результате чего было разработано 13 надёжных положений, предназначенных для предотвращения крупномасштабных кибератак, таких как печально известная атака ботнета Mirai в 2016 году, которая заразила сотни тысяч устройств:

1. Никаких универсальных паролей по умолчанию.

2. Внедрить средства управления отчётами об уязвимостях.

3. Постоянно обновляйте программное обеспечение.

4. Надёжно храните конфиденциальные параметры безопасности.

5. Общайтесь безопасно.

6. Минимизируйте открытые поверхности атаки.

7. Обеспечьте целостность программного обеспечения.

8. Обеспечьте защиту персональных данных.

9. Сделайте системы устойчивыми к сбоям.

10. Изучите данные телеметрии системы.

11. Упростите для потребителей удаление личных данных.

12. Упростите установку и обслуживание устройств.

13. Проверьте входные данные.

Кроме того, некоторые положения соответствуют законам о конфиденциальности данных, таким как GDPR. Например, производители должны предоставлять потребителям чёткую информацию о том, какие данные собираются, как они используются и как их можно удалить.

Слово «потребитель» находится в центре данного стандарта. Это распространяется на подключённые или «умные» устройства, которые сегодня может иметь дома любой человек. Например, смарт-телевизоры, колонки, системы сигнализации, дверные замки, детекторы дыма, радионяни и так далее – целых 16 подключённых устройств, каждое из которых имеет точку входа в домашнюю сеть. Таким образом, действие стандарта ETSI EN 303 645 распространяется на централизованную точку доступа для различных устройств.

Производители Интернета вещей обычно не создают свои операционные системы (ОС), поскольку это дорого и отнимает много времени. Глобальные технологические компании будут предоставлять обновления ОС миллионам пользователей.

Кроме того, продавец или производитель устройства IoT часто не является комплексным разработчиком аппаратного или программного обеспечения устройства, а это означает, что внутренняя работа устройства часто скрыта.

Любой, кто хочет получить эту информацию, может использовать подход «хрустального ящика» или «чёрного ящика».

Подход «хрустальный ящик»: производители заранее предоставляют исходный код и дизайн. Это случается редко, но позволяет провести аудит исходного кода, чтобы определить, как устанавливаются и поддерживаются границы доверия.

Подход «чёрный ящик»: более распространённый подход, при котором необходимо провести реверс-инжиниринг прошивки, чтобы получить чёткое представление о том, что происходит внутри устройства.

По сути, производители должны доказать, что их потребительские устройства IoT соответствуют стандарту ETSI EN 303 645, пройдя оценку, проводимую сторонней испытательной лабораторией.

Как правило, процесс оценки состоит из того, что:

• Производители сначала заполняют два ключевых документа, которые предоставляют информацию для оценки устройства: Заявление о соответствии реализации (ICS). Это указывает, каким требованиям ETSI EN 303 645 соответствует или не соответствует устройство IoT.

• Второй — это дополнительная информация о реализации для тестирования (IXIT), в которой представлены детали конструкции для тестирования.

• Испытательная лаборатория оценит и протестирует продукт на основе двух документов. Будет предоставлен отчёт, подтверждающий соответствие продукта стандарту ETSI EN 303 645.

Хотя стандарт ETSI EN 303 645 не является всеобъемлющим, он устанавливает достижимый базовый стандарт безопасности для заинтересованных сторон IoT. Стандарт также повышает уверенность потребителей в безопасности повседневных «умных» продуктов. Сопровождающая этикетка соответствия также поможет потребителям легко идентифицировать продукты, которые они могут с уверенностью купить.


Подписывайтесь на журнал «Вестник ГЛОНАСС» и навигационный Telegram-канал

По материалам открытых источников

Короткая ссылка:  vestnik-glonass.ru/~og8o5
05.02.2025
Уже через десять лет более четверти машин на российских дорогах будут беспилотными, к 2042 году доля автономного транспорта достигнет 80%.
22.01.2025
Государственные инвестиции станут ключевым фактором стимулирования роста, поскольку глобальные военные космические бюджеты превышают 64 миллиарда долларов. Расходы на оборону продолжают опережать гражданские расходы, подчёркивая стратегическую важность космоса для национальной безопасности и международной конкурентоспособности.
20.01.2025
В конце января будет запущена система навигационных пломб для контроля автомобильных перевозок отдельных категорий товаров в России и Белоруссии.
15.01.2025
В этом году общественный транспорт Луганска будет подключен к глобальной навигационной спутниковой системе ГЛОНАСС. Об этом сообщила временно исполняющая полномочия главы администрации города Яна Пащенко.

СТАТЬИ ГЛОНАСС

НАВИГАЦИОННОЕ ПРАВО. Отрасль ли или фикция?
В юридической науке и нормотворческой практике применяется широко термин «отрасль права/отрасль законодательства». Одни теоретики их отождествляют, то есть полагают синонимами. Другие, различая право и закон, полагают их различными. То есть соотносящимися как содержание и форма. Практикам-«неюристам» эта дискуссионность неинтересна. Для них важен качественный нормативный документ как инструмент повседневной деятельности. Но на деле этот кажущийся схоластическим вопрос имеет вполне земное значение, касающееся каждого из нас. Особенно ярко это проявляется в сфере навигации, когда уже поголовно все население, исключая грудничков, обладает смартфонами, а значит, потенциально все эти владельцы – «субъекты персональной навигации». О классическом транспорте и субъектах еще более 50 видов экономической деятельности говорить не приходится. Не будет преувеличением сказать, что «география» применения навигационной информации, как продукта одного конкретного вида экономической деятельности, стала самой широкой в жизнедеятельности общества, обогнав связь и энергетику.
Необходим поиск отечественных специалистов в области кибербезопасности сельского хозяйства
Перспективы реализации дорожной карты одного из направлений Национальной технологической инициативы (НТИ) в области сельского хозяйства, по просьбе журнала «Вестник ГЛОНАСС», оценил эксперт в навигационно-информационной сфере Семён Видный. В современных, быстроизменяющихся условиях особого решения требуют вопросы безопасности (направление SafeNet), тем более на таком значимом для государства агросекторе. В этом направлении на данный момент – огромное количество профессиональных участников. Но большинство из них используют иностранные наработки, что в настоящий момент и на перспективу неприемлемо. Также все профессионалы никогда не занимались этим специфическим сектором экономики – сельским хозяйством. Так что здесь придётся ещё поискать участников.