Какими бы полезными ни были подключенные устройства, такие как видеодомофоны и интеллектуальные светильники, разумно тренироваться. осторожность при использовании подключенных технологий дома, особенно после многих лет чтения о взломах камер наблюдения, атаки ботнета на холодильник, а умные плиты включаются сами. Но до сих пор не существовало простого способа оценить возможности безопасности продукта. Новая программа от Альянс стандартов связи (CSA)группа, стоящая за стандартом умного дома Matter, хочет решить эту проблему.

Объявлено на этой неделе, Спецификация безопасности устройств CSA IoT — это основной стандарт и программа сертификации кибербезопасности, целью которой является предоставление уникальной, всемирно признанной сертификации безопасности для потребительских устройств Интернета вещей.

Производители устройств, которые придерживаются Спецификация и завершить процесс сертификации, можно получить новый знак CSA Product Security Verified (PSV). Если камера видеонаблюдения или интеллектуальная лампочка, которую вы покупаете, имеет фирменный знак, вы будете знать, что она соответствует требованиям по защите от попыток злонамеренного взлома и других вторжений, которые могут повлиять на вашу конфиденциальность.

«Это огромный шаг вперед — получить глобальную сертификацию безопасности потребительского Интернета вещей. Это намного лучше, чем его отсутствие», — Стив Ханна, Infineon.

«Исследования постоянно показывают, что потребители рассматривают безопасность как важный фактор при покупке устройств, но они не знают, на что следует обращать внимание с точки зрения безопасности, чтобы принять обоснованное решение о покупке», — говорит Юджин Лидерман, директор по стратегии мобильной безопасности в Google. Край. «Подобные программы дадут потребителям простой и легко идентифицируемый показатель для поиска. »

Лидерман входит в рабочую группу CSA, которая определила спецификацию программы 1.0. был разработан более чем 200 компаниями-членами CSA. К ним относятся (наряду с Google) Amazon, Comcast, Signify (Philips Hue) и несколько производителей чипов, таких как Arm, Infineon и NXP.

По словам генерального директора CSA Тобина Ричардсона, продукция под брендом PSV может начать появляться уже в этом сезоне праздничных покупок.

Новый знак проверки безопасности продукции CSA.
Изображение: АСЦ

Один бренд кибербезопасности, который будет управлять всеми

ТО Объявление о CSA 18 марта следует за объявлением на прошлой неделе о том, что FCC одобрила реализацию своей новой программы маркировки кибербезопасности для потребительских устройств IoT в США. Обе программы являются добровольными, и знак CSA не конкурирует с американским знаком Cyber ​​Trust. Вместо этого он пошел еще дальше, взяв все требования США и добавив основы кибербезопасности из аналогичных программ в Сингапуре и Европе. Конечным результатом является единая программа спецификации и сертификации, которая может действовать в нескольких странах (см. врезку).

ЧИТАТЬ   Рекордное количество электроэнергии, сниженный газ, вода на повестке дня - экономический график

Ричардсон говорит, что цель состоит в том, чтобы знак CSA PSV был признан правительствами, чтобы производители могли пройти единый процесс сертификации для продажи на всех основных рынках. Это может снизить затраты и сложность для производителей и потенциально предоставить больше выбора для потребителей.

Бренд ПСВ был признан Агентством кибербезопасности Сингапураи CSA утверждает, что работает над взаимным признанием с аналогичными программами в США, Европейском Союзе и Великобритании. «Весьма вероятно, и с некоторыми [countries], это несомненно», — говорит Ричардсон. «В основном речь идет о заполнении некоторых документов».

Чтобы получить маркировку PSV, устройства должны соответствовать Спецификация безопасности устройств Интернета вещей 1.0 и завершить программу сертификации, которая включает в себя ответы на анкету и предоставление доказательств в утвержденную испытательную лабораторию. К основным требованиям относятся:

  • Уникальная идентификация для каждого устройства IoT
  • Нет жестко запрограммированного пароля по умолчанию
  • Безопасное хранение конфиденциальных данных на устройстве
  • Безопасная передача важной для безопасности информации
  • Безопасные обновления программного обеспечения в течение всего периода поддержки
  • Безопасный процесс разработки, включая управление уязвимостями
  • Документация по общественной безопасности, включая период поддержки
ЧИТАТЬ   Власти предложили украинцам самим покупать детали и собирать FPV-дроны дома

По данным CSA, добровольная программа распространяется на большинство подключенных устройств «умного дома», включая лампочки, выключатели, термостаты и камеры видеонаблюдения, и может применяться задним числом к ​​продуктам, доступным на рынке. В дополнение к бренду PSV, «напечатанный URL-адрес, гиперссылка или QR-код на бренде позволяет потребителям получить доступ к дополнительной информации о функциях безопасности устройства», — говорится в CSA. его пресс-релиз.

Программа ориентирована конкретно на безопасность устройства, гарантируя, что само физическое устройство не будет доступно, а не на конфиденциальность. «Но существует сильная связь в том, что не может быть конфиденциальности без безопасности», — говорит Ричардсон. Хотя безопасность влияет на конфиденциальность, эта программа не предъявляет особых требований к тому, как производитель использует данные, собранные устройством. У CSA есть отдельная рабочая группа по конфиденциальности данных, которая занимается этой банкой червей.

Лучшая безопасность, но все еще не идеальна

Текущая версия программы не является панацеей для решения проблем безопасности IoT-устройств. Стив Ханна из Infineon Technologies, исследователь кибербезопасности с 25-летним стажем и председатель рабочей группы CSA по программе, сказал: Край есть и другие вещи, которые он хотел бы видеть включенными. «Но нам придется ползти, идти, а затем бежать», — сказал он. «Это огромный шаг вперед — получить глобальную сертификацию безопасности потребительского Интернета вещей. Это намного лучше, чем его отсутствие.

Лидерман из Google также отмечает, что соблюдение минимальных стандартов безопасности не гарантирует отсутствие уязвимостей в устройстве. «Мы считаем, что со временем отрасли необходимо поднять планку, особенно для чувствительных категорий продуктов», — говорит он.

CSA планирует поддерживать спецификацию в актуальном состоянии, требуя от компаний проходить повторную сертификацию не реже одного раза в три года. Кроме того, Ричардсон говорит, что потребуется процесс реагирования на инциденты. Поэтому, если у компании возникнут проблемы с безопасностью, как недавние проблемы Wyze, ей необходимо будет решить их, прежде чем она сможет пройти повторную сертификацию.

API может позволить приложению платформы умного дома предупреждать вас о состоянии безопасности устройства, прежде чем оно сможет подключиться к вашей сети.

ЧИТАТЬ   Почему мы опаздываем и как избавиться от привычки - Лайфхакер

По словам Ханны, чтобы развеять опасения по поводу неправильного использования маркировки, CSA разместит на своем веб-сайте базу данных всех сертифицированных продуктов, чтобы вы могли перекрестно ссылаться на заявления компании. В нем также говорится, что планируется сделать информацию доступной через API, который позволит приложению вашей платформы умного дома предупреждать вас о статусе безопасности устройства, прежде чем оно сможет подключиться к вашей сети.

Ханна предостерегает от слишком завышенных ожиданий. «Некоторые компании стремятся признать работу, которую они уже проделали, но мы не должны ожидать, что это будет в каждом продукте», — говорит он. По его словам, некоторые могут обнаружить, что у них есть проблемы, которые мешают им пройти сертификацию. «Если или когда правительства потребуют этих мер, именно здесь и появится резина».

Добровольная программа может показаться пальцем в плотине, но она решает две фундаментальные проблемы. Для производителей это упрощает соблюдение правил в нескольких странах за один шаг, а для потребителей это открывает дверь к пониманию того, каких мер безопасности придерживается компания.

«Без лейбла или бренда потребителю может быть сложно принять решение о покупке, основываясь на безопасности», — говорит Холли Хеннесси, эксперт по кибербезопасности Интернета вещей в компании фирма технологического анализа Omdia. Хотя тот факт, что программа является добровольной, может стать препятствием для ее внедрения, Хеннесси говорит, что исследования его компании показывают, что люди с большей вероятностью будут покупать устройства с маркировкой конфиденциальности и безопасности.

В конечном счете, Hennessy считает, что сочетание подобных стандартов и сертификатов, а также правил и законодательства необходимо для решения проблем потребителей по поводу конфиденциальности и безопасности подключенных устройств. Но это решение – большой шаг в правильном направлении.

Source

От admin