Britská vláda plánuje vydat směrnicí týkající se zařízení Internetu věcí (IoT), která by varovala uživatele před možnými nebezpečími. Zařízení IoT jsou na trhu již nějakou dobu, ovšem jejich zabezpečení obvykle za moc nestojí, a pokud snad ano, tak ho uživatelé nevyužívají. Díky tomu roste pravděpodobnost různých nových typů napadení a výpadků. Od útoků, které využívají samotnou funkčnost zařízení IoT – např. hacknutí automobilu nebo třeba panenky, kterou lze proměnit ve vzdálené sledovací zařízení – až po události, jako útoky Mirai, které ve velké míře ohrožovaly internetovou infrastrukturu.
Cílem této směrnice je stavět na dokumentu Code of Practice – Secure by Design, který výrobcům zařízení IoT i uživatelům nabízí řadu pokynů jak navrhovat bezpečné zařízení IoT a jak ho bezpečně používat. To zahrnuje pokyny pro bezpečné ukládání přihlašovacích údajů a dalších bezpečnostních dat, minimalizaci vektorů útoku, zajištění integrity a nepřetržité aktualizace softwaru na zařízeních IoT a zajištění bezpečné komunikace mezi zařízeními a ze zařízení.
Code of Practice byl vypracován s nadějí, že se lidé podle těchto pokynů budou řídit, a pokud tak neučiní, vláda bude muset tyto pokyny „vynucovat“. Zdá se, že přesně to se stalo a regulační orgány nyní stanoví, že nejméně tři z těchto pokynů budou povinné.
Tři pokyny
Takže za prvé, hesla IoT musí být jedinečná a nelze je resetovat na výchozí tovární nastavení, což by útočníkovi umožnilo toto heslo pouze vyhledat.
Za druhé, výrobci musí mít veřejně inzerovaný kontakt pro zveřejňování informací o zranitelnosti, což umožňuje včasné hlášení a opravu chyb.
Za třetí, výrobci musí jasně stanovit minimální dobu, po kterou budou zařízení poskytovat aktualizace zabezpečení, aby spotřebitelé mohli plánovat výměnu zařízení nebo učinit na tomto základě jiná bezpečnostní rozhodnutí.
Zařízení, která tyto požadavky budou splňovat, obdrží razítko, které bude znamenat vládní schválení bezpečnosti tohoto konkrétního produktu. I když to na první pohled vypadá jednoduše, zásadně to mění vztah mezi uživatelem a zabezpečením IoT.
Zabezpečení IoT ponecháno výrobcům
Až doposud byl problém zabezpečení ponechán čistě na výrobcích a také na podnikových bezpečnostních týmech, které opravovali, co bylo potřeba. Certifikační schéma Secure by Design konečně přesunuje rozhodnutí ohledně zabezpečení do rukou uživatele. Uživatelé nyní budou muset učinit rozhodnutí ohledně zabezpečení ještě předtím, než připojí slabě chráněné a zranitelné zařízení do jinak zabezpečené sítě.
To znamená, že uživatelé budou muset brát otázku zabezpečení v úvahu již při nákupu zařízení IoT, což se může stát konkurenčním rozlišením. Výrobci na trh až doposud dodávali nezabezpečená zařízení z velké části proto, že to bylo levnější. Neexistovala téměř žádná tržní poptávka po zabezpečených zařízeních, takže dělat zabezpečená zařízení pro ně nebylo výhodné.
Certifikace zařízení a zavádění zabezpečení jako konkurenčního diferenciace bude výrobce stimulovat, aby hledali způsoby jak co nejméně ztratit a co nejvíce vydělat. To znamená, výrobci budou muset o zabezpečení přemýšlet již od fáze návrhu. Stručně řešeno, jakmile se začnou starat uživatelé, začnou se starat i výrobci.
Kalkulace byla provedena příliš pozdě
Je to jednoduchá kalkulace, která byla provedena příliš pozdě. Problém zabezpečení byl dlouho zabezpečení ponechán na výrobcích, aby si své produkty IoT zabezpečovali sami podle svého. Snahy dohodnout se se většinou minuly účinkem, nyní tedy vlády po celém světě vytváří směrnice, které obsahují základní pokyny, jak mají být zařízení IoT zabezpečena.
Zdroj: IoTNOW
