Мы все чаще используем подключенные устройства как дома, так и на работе, от беспроводных маршрутизаторов до подключенных дверных звонков и систем безопасности, интеллектуального освещения и даже умных кофеварок. И это только начало. Только в Великобритании правительство прогнозирует, что в ближайшие три года будет подключено более 420 миллионов подключенных устройств.
Обеспечение безопасности этих устройств является большой проблемой. Никто не хочет, чтобы их записи с домашней камеры безопасности были взломаны, сообщения, которые они прослушали с цифровым динамиком, прослушивали или перехватывали электронную почту на рабочем месте. Чтобы защитить пользователей, правительство Великобритании недавно сделало шаг к большей безопасности устройств IoT, выпустив свой Свод правил по безопасности IoT для потребителей.
Код, который «не хватает зубов»
Кодекс состоит из 13 руководящих принципов, изложенных в правительственном обзоре «Защищено конструкцией», опубликованном DCMS и Национальным центром кибербезопасности (NCSC) в марте. Код был запущен при поддержке двух названных компаний – HP и Centrica Hive – и позже получил поддержку нескольких других компаний, включая Samsung. Вряд ли это было громкое одобрение многомиллиардного сектора, но это только начало.
Что еще более тревожно, обзор был подвергнут критике при запуске техническими экспертами за «отсутствие зубов» из-за его необязательности.
Талал Раджаб, глава отдела кибербезопасности и национальной безопасности в techUK, говорит, что его организация «настоятельно рекомендует компаниям подписаться» и «ожидает, что в будущем будет подписано больше компаний, подписывающих Кодекс».
Большая часть комплекта IoT, который мы покупаем, поступает от так называемых производителей «белой этикетки» – производителей, базирующихся за пределами Великобритании, которые производят комплект или компоненты для маркировки и продажи другими лицами. Это поднимает вопрос о том, будет ли на самом деле британский код иметь какие-либо зубы.
Стеффен Соррелл, главный аналитик Juniper Research, утверждает, что некоторые компании, у которых мы покупаем, уже придерживаются строгих правил. «Foxconn, тайваньская компания, производит продукты, которые уже соответствуют кодексу практики (например, iPhone) и признаны безопасными», – объясняет он.
Однако он отмечает, что, если устройства других компаний, не соответствующих требованиям, попадут в британскую IoT-экосистему, привлечь этих производителей к ответственности будет практически невозможно. «По всей вероятности, нарушения и штрафы GDPR будет трудно навязать китайским производителям устройств», – говорит Соррелл. «Будет мало стимулов к изменениям со стороны игроков с низкой маржой, с большими объемами. Конец игры должен быть законодательным, чтобы иметь реальное влияние».
Однако, к чести правительства Великобритании, оно уже начало работу по созданию глобального стандарта через Европейский институт телекоммуникационных стандартов (ETSI) на основе своего собственного кодекса практики.
Мы должны также отметить, что другие страны также активны в этой области. Например, Калифорния недавно приняла решение ввести новый закон, который потребует от производителей программировать уникальные пароли по умолчанию, а не стандартные пароли, на каждое устройство, которое они производят с 1 января 2020 года.
Охватывая основы
Итак, достаточно ли далеко заходит Кодекс практики Великобритании? Штеффен Соррелл объясняет, что, хотя код «безусловно полезен с точки зрения определения основных обязанностей по обеспечению безопасности и конфиденциальности в цепочке создания стоимости», сам код является довольно базовым.
«В коде нет ничего, что рекомендовало бы оценку риска, чтобы определить, какой уровень безопасности требуется устройству», – объясняет он, и ничего о «доверии и соглашениях по цепочке поставок».
«Можно ли, например, доверить поставщику компонентов поддержку программного драйвера? Именно эти проприетарные программные« капли »часто являются причиной того, что устройства остаются не исправленными. Домашние маршрутизаторы являются тому примером».
Он добавляет, что для того, чтобы национальный кодекс практики, такой как этот, был эффективным, необходимо включить более подробные рекомендации по передовой практике, которые могут быть адаптированы с учетом целевой аудитории, такой как потребительский и промышленный рынки.
Однако Талал Раджаб из TechUK утверждает, что Свод практических правил не предназначен для «обеспечения панацеи от всех киберугроз с поддержкой IoT, затрагивающих все типы продуктов и услуг IoT», а вместо этого предназначен для простой поддержки поставщиков услуг, разработчиков приложений и розничных продавцов с помощью практические шаги.
Розничная и общественная информация
Свод практических правил помечает только одно из 13 его руководящих принципов как относящихся в первую очередь к розничным торговцам (защита личных данных). Но играют ли розничные торговцы большую роль?
Стефан Соррелл так думает. «Ритейлеры могут сыграть ключевую роль в лучшем информировании потребителя. Например, демонстрация того, что тот или иной продукт соответствует руководящим принципам, и поэтому рекомендуется в качестве« надежного выбора »или подобного», – объясняет он.
«За последние десять лет риски, связанные с технологиями и безопасностью, изменились настолько быстро, что лишь немногие потребители понимают передовые методы обеспечения безопасности. Продукты должны способствовать соблюдению кода таким образом, чтобы конечный пользователь мог понять его преимущества и, возможно, почему они платят немного больше для продукта. "
Как объясняет Талал Раджаб: «Кодекс снимает с себя бремя защиты продуктов и услуг от потребителей, но они, несомненно, играют важную роль, и мы должны гарантировать, что они информированы. Ритейлеры имеют решающее значение для этого».
Add comment