Компания Infineon, NXP, принадлежащая Qualcomm, STMicroelectronics и Европейское агентство по сетевой и информационной безопасности (ENISA) выступили с предложением разработать и внедрить базовые стандарты кибербезопасности подключённых устройств.
Производители микросхем выразили общее мнение, заявив, что европейская система маркировки и сертификации кибербезопасности Интернета вещей должна оцениваться Европейской комиссией (ЕК).
Европейскую Комиссию призывают поощрять разработку императивных требований/стандартов IoT-безопасности и конфиденциальностив рамках нового общеевропейского законодательства
В меморандуме, подписанном вышеупомянутыми компаниями, говорится о поддержке идеи маркировки подключаемых устройств – Trusted IoT («Надёжный Интернет вещей») по аналогии с маркировкой CE
для товаров, распространяемых на территории Европейского Союза. Они выступают за введение минимальных норм кибербезопасности и стандартизацию процессов и услуг в этой отрасли.
Производители микросхем также предлагают внедрить систему материального поощрения производителей IoT-устройств, обеспечивающих кибербезопасность собственной продукции. По их мнению, такая практика поможет побороть нежелание производителей и потребителей тратиться на безопасность своих устройств. Они уверяют, что именно нежелание вкладывать средства в защиту от киберугроз мешает участникам европейского рынка получить максимальную выгоду от массового внедрения IoT-технологий.
Результаты недавних исследований Европейской комиссии свидетельствуют о том, что уже к 2020 году объём общеевропейского рынка IoT-устройств мог бы достичь 1$ триллиона. Однако в комиссии признают, что проблемы кибербезопасности таких устройств могут помешать практической реализации этого прогноза.
Европейская комиссия объявила, что уже в октябре 2017 года планируется принять ряд новых законодательных норм, регулирующих вопросы кибербезопасности подключённых устройств. В соответствии с этими нормами, компании обяжут внедрять строгие стандарты кибербезопасности, а также проходить сертификационные испытания, призванные подтвердить необходимый уровень конфиденциальности. Европейские чиновники предложили компаниям самостоятельно разработать систему маркировки, которая бы указывала на уровень информационной безопасности и конфиденциальности того или иного продукта, подобно европейской маркировке энергоэффективности – по количеству звёзд.
Повышенное внимание к проблемам информационной безопасности отчасти связано с усилиями Европы, направленными на повышение скоростей мобильных и фиксированных каналов доступа в Интернет.
Европейские производители микросхем отмечают, что на сегодняшний день общепринятых стандартов и рекомендаций по кибербезопаности IoT-устройств просто не существует. По их мнению, мелкие и средние производители подключаемых устройств, как правило, не обладают достаточным уровнем знаний в области информационной безопасности.
Малым и средним предприятиям необходимо предоставить максимум информации о безопасности и конфиденциальности в области IoT. А также о существующих средствах защиты IoT-устройств, таких как шифрование, правила хранения ключей, строгая/двухфакторная аутентификация и системы управления идентичностью.
Следует отметить, что одним из важнейших катализаторов для программы кибербезопасности IoT-устройств в Европейском Союзе стали атаки бот-сети Mirai.
Как известно, в 2016 году жертвой Mirai стал DNS-провайдер Dyn – в результате атаки был заблокирован доступ к Твиттеру, Amazon, PayPal и десяткам других популярных сайтов. Позднее, в ноябре того же года, модифицированный вариант Mirai инфицировал роутеры Deutsche Telekom, оставив без связи с внешним миром 900 тыс. абонентов компании.
В феврале 2017 года Федеральное сетевое агентство ФРГ (BNetzA) запретило продажи умной игрушки производства США. Специалисты обнаружили, что у куклы Кайлы (Cayla) проблемы с аутентификацией Bluetooth. Немецкий регулятор посчитал, что эта уязвимость может сделать игрушку, оборудованную камерой и микрофоном, инструментом скрытого слежения и контроля в руках злоумышленников.
Производители микросхем предлагают европейским властям внедрить обязательные стандарты средств киберзащиты, такие как аутентификация и авторизация. При этом они настаивают, что, скажем, для термостатов эти стандарты должны быть проще, чем, к примеру, для смартфонов.
Фактически предлагается разработать и внедрить упрощённую версию ИСО/МЭК 15408 – международный стандарт сертификации систем безопасности информационных технологий (Common Criteria, CC). Стандарты сертификации IoT-устройств должны распространяться на подключённые устройства, коммерческое программное обеспечение и продукты с коротким жизненным циклом. Эти стандарты можно использовать наряду с вышеописанной маркировкой информационной безопасности подключённых устройств.
Кроме того, планируется создать «единое игровое поле» для всех участников IoT-рынка. В частности, реализовав идею обязательного страхования кибербезопасности подключённых устройств.
