Великобритания введет обязательную стандартизацию устройств IoT для защиты безопасности
Великобритания представила законопроект о безопасности продуктов и телекоммуникационной инфраструктуре (PSTI), который поможет защитить устройства IoT.
Многие "умные" устройства не соответствуют своему названию, когда речь идет о безопасности. Поскольку производители стремятся идти в ногу со спросом на устройства IoT, безопасность слишком часто оказывается второстепенной.
Джулия Лопес, министр СМИ, данных и цифровой инфраструктуры Великобритнаии, сказала:
"Каждый день хакеры пытаются взломать интеллектуальные устройства. Большинство из нас полагает, что если товар выставлен на продажу, то он безопасен и надежен. Однако многие поставщики пренебрегают стандартами безопасности, чем подвергает слишком многих из нас риску мошенничества и кражи.
Н овый законопроект установит брандмауэр вокруг повседневных технологий, от телефонов и термостатов до посудомоечных машин, радионяни и дверных звонков, и предусматривает огромные штрафы для тех, кто наруш и т новые жесткие стандарты безопасности".
Среди обычных приемов безопасности, которые не требуются, - это использование паролей по умолчанию.
Вам не нужно быть опытным хакером, чтобы получить доступ к странице входа на чье-то устройство и использовать пароль по умолчанию для таких целей, как кража комерческой тайны компании, шантаж, нарушение конфиденциальности, сбор конфиденциальных данных и многое другое.
Опытные хакеры могут сканировать уязвимые устройства и использовать пароли по умолчанию, чтобы добавлять их в бот-сети, такие как печально известный Mirai.
IoT-устройства, которые становятся жертвами Mirai, идентифицируются путем асинхронной отправки TCP SYN-зондов на псевдослучайные IPv4-адреса на TCP-портах telnet 23 и 2323. Если устройство IoT отвечает, выполняется попытка установления telnet-соединения с использованием заранее определенных пар имени пользователя и пароля из списка известных учетных данных по умолчанию.
Такие бот-сети используют беспрецедентные объемы широко распределенного трафика, который устройства Интернета вещей предоставляют службам DDoS, и наносят огромный ущерб. Одна громкая атака на DNS-провайдера Dyn в октябре 2016 года привела к отключению нескольких известных веб-сайтов, включая GitHub, Twitter, Reddit, Netflix, Airbnb и многие другие.
Законопроект PSTI запрещает использование паролей по умолчанию. Все устройства должны поставляться с уникальными паролями и не могут быть сброшены на какие-либо универсальные заводские настройки.
Производители также будут обязаны предупреждать клиентов в точках продажи и держать их в курсе о том, как долго продукт будет получать важные обновления безопасности и исправления. Если таких планов нет, это также должно быть раскрыто.
Еще одно ключевое правило состоит в том, что необходимо будет предоставлять контактную информацию, чтобы исследователям безопасности и другим лицам было проще сообщать об обнаружении недостатков и ошибок в продуктах.
Правоприменение будет осуществляться еще не определенным регулирующим органом, который будет иметь право штрафовать компании за несоблюдение требований в размере до 10 миллионов фунтов стерлингов или четырех процентов их глобального оборота. Они также смогут штрафовать до 20 000 фунтов стерлингов в день за длящееся правонарушение.
На любой "подключаемый" продукт будут распространяться новые правила. Единственное существенное исключение - для настольных и портативных компьютеров, поскольку они обслуживаются развитым рынком антивирусного программного обеспечения.
Д-р Ян Леви, технический директор Национального центра кибербезопасности, прокомментировал:
"Я рад представлению этого законопроекта, который обеспечит безопасность подключенных потребительских устройств и заставит производителей устройств нести ответственность за обеспечение базовой кибербезопасности.
Требования, которые вводятся в этом законопроекте, были разработаны DCMS и NCSC совместно с отраслевыми консульта нтами, знаменуют собой начало пути к обеспечению того, чтобы подключенные устройства на рынке соответствовали стандарту безопасности, который признан хорошей практикой".
Однако законопроект не обошелся без критиков.
Мартин Тайли, глава кибер-отдела KPMG UK, сказал:
"С учетом того, что компании в настоящее время сталкиваются с множеством киберрисков, законопроект о PSTI просто добавляет еще одну задачу к постоянно растущему списку задач CISO.
Производители уже изо всех сил пытаются предотвратить угроз ы и соблюдать существующее законодательство - добавление еще одного нормативного акта приведет к их еще большему подавлению. Поэтому я считаю, что все нормы и законы в области кибербезопасности должны сопровождаться соответствующими руководящими принципами и поддержкой отраслей, которые, как ожидается, будут им соответствовать.
Регулирующие органы и правительство Великобритании оценивают киберугрозы, с которыми сталкиваются эти организации, и выходят далеко за рамки того, что может понять любой игрок отрасли. Следовательно, есть обязанность объяснить, почему он вступает в силу, и как учитывать его последствия.
Мы можем в конечном итоге увидеть, что у руководителей информационной безопасности нет другого выбора, кроме как соблюдать эти новые правила безопасности Интернета вещей на индивидуальной основе, вместо того, чтобы думать об их состоянии безопасности более целостным образом. Это может в конечном итоге поставить под угрозу их отношения с клиентами, потенциальную прибыль и положение на рынке, если они не будут хорошо подготовлены к будущему.
Законопроект будет разрушительным для небольших организаций, у которых нет средств, чтобы инвестировать еще больше в свою функцию кибербезопасности. Именно эти производители промахнутся в вопросах безопасности и конфиденциальности продукции и могут рискнуть потерять долю рынка в пользу конкурентов, которые понимают это правильно".
После того, как законопроект получит королевское согласие, соответствующим игрокам отрасли будет дано не менее 12 месяцев на соблюдение новых правил.