Президентът на САЩ Доналд Тръмп подписа закон за подобряване на киберсигурността на Интернет на нещата (IoT) този месец. Така той даде ход на нещо, за което мнозина експерти по киберсигурност отдавна се молят – норматив за по-добрата защита за милиардите IoT устройства, заливащи домовете и бизнеса по цял свят.
Новият щатски закон ще изисква местният Институт за стандарти и технологии (NIST) и Службата за управление и бюджет (OMB) да „предприемат конкретни стъпки за повишаване на киберсигурността на IoT устройствата”.
През последните години множество вещи и домакински уреди „оживяха”, като се сдобиха с връзка към интернет. Някои прогнози предвиждат, че до 2025 г. ще има 41,6 милиарда IoT устройства в света – и над 1 трилион долара ще бъдат похарчени за тях още към 2023 година. Експлозията на пазара на IoT уреди съвпадна с нарастването на опустошителните кибератаки, които се възползват от несигурността на IoT системите, за да причинят колкото се може повече щети. Това бе наблюдавано много ясно още при ботнет атаките спрямо Mirai през 2016 г.
Навременна или закъсняла мярка
„Огромна стъпка за индустрията” – така определи новия закон Брад Рий, технически директор на ioXt Alliance, който работи с правителствените организации, производителите и топ технологичните компании, за да създаде универсални стандарти за сигурност за свързаните устройства от различни продуктови категории. Той каза, че е важно публичният и частният сектор да се обединят и да създадат набор от минимални изисквания за сигурност.
„Въпреки че законопроектът е насочен към държавните поръчки, очаквам мрежовите оператори, потребителските екосистеми и търговците да последват този ход, въвеждайки подобни изисквания за потребителските продукти”, коментира Рий, цитиран от Tech Republic.
Андреа Карчано и Едгард Капдевил, съосновател и главен изпълнителен директор на IoT компанията за киберсигурност Nozomi Networks, приветстваха закона като важна първа стъпка за гарантиране, че производителите на IoT устройства подобряват сигурността на своите продукти. Наскоро компанията публикува проучване, според което през първите шест месеца на тази година хакерите са използвали IoT ботнети и са пренасочили рансъмуер атаките си в посока IoT устройства в оперативни мрежи.
„Въпреки че упоритата работа по разработване на стандарти за IoT устройства не е завършена, участието на NIST ще спомогне за глобалното въвеждане на стандартите за сигурност на IoT устройствата. А ние смятаме, че това ще допринесе значително за подобряване на цялостната сигурност на индустриалните и критичните инфраструктури”, каза Капдевил.
Законопроектът за сигурност на IoT устройствата изисква създаване на стандарти и насоки за управление на рисковете от киберсигурност: сигурно разработване, управление на самоличността, поправяне, управление на конфигурациите. Нормата изисква NIST да работи с Министерството на вътрешната сигурност на САЩ, заедно с изследователи по киберсигурност и експерти от частния сектор. Очаква се да бъдат публикувани насоки за докладване и отстраняване на уязвимости.
Хло Месдаги, вицепрезидент по стратегите в Point3 Security, казва, че индустрията на киберсигурността е развълнувана от нововъведението. То изисква стандарти за всички IoT устройства, поръчани и доставени по нареждане на държавата, което по същество налага всички новопроизведени IoT устройства да отговарят на стандарти за киберсигурност.
Очаква се всички държавни служби в САЩ бързо да възприемат новия набор от насоки на NIST и да настояват за съвместими продукти. Когато това се случи, цялата технологична индустрия ще бъде задължена да превърне киберсигурността на IoT в свой приоритет. Компаниите, които не успеят да постигнат и демонстрират съответствие с нормата, може да се окажат изхвърлени от пазара в даден момент.
Бившият разузнавач на ЦРУ и старши вицепрезидент на KnowBe4 по кибероперациите Роза Смотърс също отбелязва, че законът изисква Службата по националната сигурност да преразглежда препоръките за сигурност на IоТ устройствата на не повече от пет години.
По-интересното е, че САЩ очаква подобни регулации и стандарти да се появят и извън страната. Такава е прогнозата на Янив Нисенбойм, вицепрезидент на Vdoo – платформа, която използва AI за откриване и отстраняване на уязвимости в IoT устройствата.
Дългогодишни опасения за IoT сигурността
Експертите по киберсигурност отдавна се оплакват, че производителите на IoT устройства не правят достатъчно – или всъщност не правят нищо, за да гарантират сигурността на устройствата, които предлагат. Така се оказва, че тези джаджи могат да дадат достъп на хакери до цели домашни и корпоративни мрежи.
Едни от най-често атакуваните IoT устройства са умните прахосмукачки. Те вече станаха масов продукт на пазара и присъстват в много домове. Обичайно са постоянно свързани към домашната WiFi мрежа. Освен това, поради същността на своята работа, те „картират” домовете, които почистват. Слабата им защита ги направи предпочитан „вход” за хакерите през последните години.
Друг обект интерес за злосторниците са „умните” крушки и изобщо „умните” осветителни системи. Не по-спокойна е ситуацията, когато става дума за продукти за здравеопазването, например.
Някои производители, в стремежа си да излязат от ситуацията и да се отърват от продукти, станали печално известни като „пробойни” за сигурността, вземат решение просто да спрат да предлагат и поддържат въпросните продукти. Това поставя в крайно неприятна ситуация всички, които в даден момент са закупили подобни продукти – било то „смарт” лампи или „смарт” бойлери.
На прага на 5G
Стефано Де Бласи, изследовател на заплахите в Digital Shadows, коментира, че възходът на 5G несъмнено ще стимулира още по-голяма „експлозия” на IoT устройства. Но свързването на тези устройства в частни корпоративни мрежи разширява повърхността за атаки. Това потенциално излага на риск чувствителни данни като медицински данни, лична информация, планове на работното място.
В този смисъл новата норма е съвсем навременна, ако не и леко закъсняла, смятат експертите. Сега те са ентусиазирани от перспективата за общоприети стандарти за защита на IoT устройствата. По света ще има милиарди джаджи от този вид и ще е въпрос на чест за производителите да могат да кажат, „ето, това устройство отговаря на стандартите за сигурност”, убедени са експертите по киберзащита.