Европейские производители микросхем стандартизируют IoT-безопасность

Компания Infineon, NXP, принадлежащая Qualcomm, STMicroelectronics и Европейское агентство по сетевой и информационной безопасности (ENISA) выступили с предложением разработать и внедрить базовые стандарты кибербезопасности подключённых устройств.

Производители микросхем выразили общее мнение, заявив, что европейская система маркировки и сертификации кибербезопасности Интернета вещей должна оцениваться Европейской комиссией (ЕК).

Европейскую Комиссию призывают поощрять разработку императивных требований/стандартов IoT-безопасности и конфиденциальностив рамках нового общеевропейского законодательства

В меморандуме, подписанном вышеупомянутыми компаниями, говорится о поддержке идеи маркировки подключаемых устройств – Trusted IoT («Надёжный Интернет вещей») по аналогии с маркировкой CE

для товаров, распространяемых на территории Европейского Союза. Они выступают за введение минимальных норм кибербезопасности и стандартизацию процессов и услуг в этой отрасли.

Производители микросхем также предлагают внедрить систему материального поощрения производителей IoT-устройств, обеспечивающих кибербезопасность собственной продукции. По их мнению, такая практика поможет побороть нежелание производителей и потребителей тратиться на безопасность своих устройств. Они уверяют, что именно нежелание вкладывать средства в защиту от киберугроз мешает участникам европейского рынка получить максимальную выгоду от массового внедрения IoT-технологий.

Результаты недавних исследований Европейской комиссии свидетельствуют о том, что уже к 2020 году объём общеевропейского рынка IoT-устройств мог бы достичь 1$ триллиона. Однако в комиссии признают, что проблемы кибербезопасности таких устройств могут помешать практической реализации этого прогноза.

Европейская комиссия объявила, что уже в октябре 2017 года планируется принять ряд новых законодательных норм, регулирующих вопросы кибербезопасности подключённых устройств. В соответствии с этими нормами, компании обяжут внедрять строгие стандарты кибербезопасности, а также проходить сертификационные испытания, призванные подтвердить необходимый уровень конфиденциальности. Европейские чиновники предложили компаниям самостоятельно разработать систему маркировки, которая бы указывала на уровень информационной безопасности и конфиденциальности того или иного продукта, подобно европейской маркировке энергоэффективности – по количеству звёзд.

Повышенное внимание к проблемам информационной безопасности отчасти связано с усилиями Европы, направленными на повышение скоростей мобильных и фиксированных каналов доступа в Интернет.

Европейские производители микросхем отмечают, что на сегодняшний день общепринятых стандартов и рекомендаций по кибербезопаности IoT-устройств просто не существует. По их мнению, мелкие и средние производители подключаемых устройств, как правило, не обладают достаточным уровнем знаний в области информационной безопасности.

Малым и средним предприятиям необходимо предоставить максимум информации о безопасности и конфиденциальности в области IoT. А также о существующих средствах защиты IoT-устройств, таких как шифрование, правила хранения ключей, строгая/двухфакторная аутентификация и системы управления идентичностью.

Следует отметить, что одним из важнейших катализаторов для программы кибербезопасности IoT-устройств в Европейском Союзе стали атаки бот-сети Mirai.

Как известно, в 2016 году жертвой Mirai стал DNS-провайдер Dyn – в результате атаки был заблокирован доступ к Твиттеру, Amazon, PayPal и десяткам других популярных сайтов. Позднее, в ноябре того же года, модифицированный вариант Mirai инфицировал роутеры Deutsche Telekom, оставив без связи с внешним миром 900 тыс. абонентов компании.

В феврале 2017 года Федеральное сетевое агентство ФРГ (BNetzA) запретило продажи умной игрушки производства США. Специалисты обнаружили, что у куклы Кайлы (Cayla) проблемы с аутентификацией Bluetooth. Немецкий регулятор посчитал, что эта уязвимость может сделать игрушку, оборудованную камерой и микрофоном, инструментом скрытого слежения и контроля в руках злоумышленников.

Производители микросхем предлагают европейским властям внедрить обязательные стандарты средств киберзащиты, такие как аутентификация и авторизация. При этом они настаивают, что, скажем, для термостатов эти стандарты должны быть проще, чем, к примеру, для смартфонов.

Фактически предлагается разработать и внедрить упрощённую версию ИСО/МЭК 15408 – международный стандарт сертификации систем безопасности информационных технологий (Common Criteria, CC). Стандарты сертификации IoT-устройств должны распространяться на подключённые устройства, коммерческое программное обеспечение и продукты с коротким жизненным циклом. Эти стандарты можно использовать наряду с вышеописанной маркировкой информационной безопасности подключённых устройств.

Кроме того, планируется создать «единое игровое поле» для всех участников IoT-рынка. В частности, реализовав идею обязательного страхования кибербезопасности подключённых устройств.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новые статьи на Anti-Malware.ru