Нова сертификационна програма ще удостоверява сигурността на умните домашни устройства подобно на етикета за енергийна ефективност (снимка: CC0 Public Domain)
Няма спор колко полезни са свързаните домашни устройства като видео-домофони и смарт-крушки. Но все пак трябва да сме внимателни в използването им, особено след години на четене за хаквания на охранителни камери и аквариуми, ботнет-атаки с хладилници или четки за зъби, както и за интелигентни печки, които се включват сами. Ето, че нова програма на Connectivity Standards Alliance (CSA), групата-създател на стандарта за интелигентен дом „Matter“, е на път да ни даде инструмент за подобряване на сигурността на умните домашни устройства.
Обявената преди броени дни спецификация за сигурност на IoT устройствата на CSA се очертава като основен стандарт за киберсигурност и едновременно с това програма за сертифициране. Тя има за цел да предостави единен сертификат за сигурност за потребителски IoT устройства, признаван по целия свят.
Производителите на устройства, които се придържат към спецификацията и преминават през процеса на сертифициране, ще могат да носят новата маркировка за „проверена сигурност на продукта“ (PSV). Ако дадена смарт-камера за сигурност или интелигентна електрическа крушка носи знака, то потребителите ще знаят, че тя отговаря на серия изискванията за безопасност – и може да е добре защитена от злонамерени опити за хакване и други прониквания.
„Изследванията непрекъснато показват, че потребителите оценяват сигурността като важен фактор за покупката на устройство. Но те не знаят какво да търсят от гледна точка на сигурността, за да вземат информирано решение“, казва Юджийн Лидерман, директор на стратегията за мобилна сигурност в Google. „Програми като тази ще дадат на потребителите прост, лесно разпознаваем индикатор, който да търсят“.
Лидерман е част от работната група на CSA, която дефинира спецификацията 1.0 за програмата. А тя е разработена от над 200 компании-членки на CSA. Продуктите, носещи маркировка „PSV“, може да започнат да се появяват на пазара веднага след предстоящия празничен сезон, смята Тобин Ричардсън, главен изпълнителен директор на CSA.
Съобщението на организацията на 18 март дойде по петите на други новини по темата, все от миналата седмица. В САЩ бе одобрено прилагането на локална нова програма за етикиране на киберсигурността за потребителски IoT устройства. В Европейския съюз в началото на март Европейският парламент одобри Закона за кибер-устойчивост, който определя редица изисквания за киберсигурност за всички „продукти с цифрови елементи“ („PDE“), пускани на пазара на ЕС. Междувременно аналогична програма има и Сингапур.
Крайният резултат от работата на CSA е единна спецификация и програма за сертифициране, която може да работи в множество държави.
Изискванията на CSA
Ричардсън казва, че целта е маркировката „PSV“ на CSA да бъде призната от правителствата на различните страни. Така производителите ще могат да преминават само през един процес на сертифициране, за да продават продуктите си на всички основни пазари. Това може да намали разходите и сложността – и да донесе по-голям избор на потребителите.
Знакът „PSV“ вече се признава от Агенцията за киберсигурност на Сингапур. CSA казва, че работи по взаимно признаване с подобни програми в САЩ, ЕС и Обединеното кралство. „Това е много вероятно, а в някои [страни] е сигурно“, казва Ричардсън. „Основно е въпрос на обвързване на някои документи“.
За да получат маркировка „PSV“, устройствата ще трябва да отговарят на IoT Device Security Specification 1.0 и да преминат през програма за сертифициране. Тя включва отговаряне на въпросник и предоставяне на придружаващи доказателства на оторизирана тестова лаборатория.
Акцентите на изискванията включват:
- Уникална идентичност за всяко IoT устройство;
- Без вградени пароли по подразбиране;
- Сигурно съхранение на чувствителни данни на устройството;
- Сигурни комуникации на важната за сигурността информация;
- Сигурни софтуерни актуализации през целия период на поддръжка;
- Сигурен процес на разработка, включително управление на уязвимости;
- Публична документация относно сигурността, включително периода на поддръжка.
Според CSA, доброволната програма се прилага за повечето свързани интелигентни домашни устройства – включително електрически крушки, превключватели, термостати и камери за сигурност. Тя може и да се приложи със задна дата за продукти, които вече са на пазара. Заедно с етикета „PSV“ е желателно да има „отпечатан URL, уеб-връзка или QR код в маркировката“, който да дава на потребителите достъп до повече информация за функциите за сигурност на устройството, уточнява CSA в съобщението си за пресата.
Програмата е съсредоточена специално върху сигурността на устройството – гарантирайки, че самото физическо устройство не може да бъде достъпно – а не толкова върху поверителността. „Но има тясна връзка в смисъл, че не можете да имате поверителност, без да имате сигурност“, казва Ричардсън. Въпреки че сигурността влияе върху поверителността, създадената нова програма не налага много изисквания за това как производителят използва данните, които устройството събира. CSA има отделна работна група относно поверителност на данните, която се занимава с тази тема.
По-добра сигурност, но все още не е перфектна
Текущата итерация на програмата не е вълшебна пръчица за решаване на проблеми със сигурността на IoT устройствата. Стив Хана от Infineon Technologies, 25-годишен изследовател в областта на киберсигурността и председател на работната група на CSA за програмата, казва, че има още неща, което би искал да види в спецификацията.
„Но ние първо се учим да пълзим, после да ходим и едва след това да бягаме“, казва той. „Огромна крачка напред е изобщо да имаме глобален потребителски IoT сертификат за сигурност! Много по-добре е, отколкото да няма никакъв“.
Лидерман от Google също посочва, че спазването на минималния стандарт за сигурност не гарантира, че дадено устройство е съвсем без уязвимости. „Ние силно вярваме, че индустрията трябва да вдигне летвата с времето, особено за чувствителните продуктови категории“, казва той.
CSA планира да актуализира спецификацията. Организацията ще изисква компаниите да се ресертифицират поне на всеки три години. Освен това, според Ричардсън, ще има изискване за процес на реагиране при инциденти, така че ако дадена компания срещне проблем със сигурността, тя трябва да ги коригира, след което може да бъде повторно сертифицирана.
За да отговори на опасенията относно злоупотребата с етикета, CSA ще разполага с база данни с всички сертифицирани продукти на уебсайта си. Така твърденията на даден производител относно сертификацията ще могат да се проверят.
CSA казва и, че има планове информацията да бъде достъпна в API, което би могло да позволи на дадено приложение за платформа за интелигентен дом да предупреждава потребителите за състоянието на сигурността на ново устройство, преди то да може да се присъедини към съответната мрежа.
Без големи очаквания
Организацията предупреждава да не тръгваме с твърде високи очаквания. „Някои компании са развълнувани от това да признаят работата, която вече са свършили, но не трябва да очакваме всеки продукт да има това“, казва Ричардсън.
Някои може да открият, че имат проблеми, които означават, че не могат да получат сертификат. „Ако или когато те се изискват от правителствата, това е мястото, където гумата излиза на пътя“, допълва той.
Една доброволческа програма може да изглежда като капка в морето, но тя решава два основни проблема. За производителите това улеснява спазването на разпоредбите от множество държави в една стъпка. За потребителите отваря път към информация за това към какъв тип практики за сигурност се придържа дадена компания.
„Без етикет или маркировка може да бъде трудно като потребител да вземе решение за покупка от гледна точка на сигурността“, казва Холи Хенеси, експерт по IoT киберсигурност в технологичната анализаторска фирма Omdia.
Докато програмата е доброволна, това може да бъде пречка за приемането, казва Хенеси. Но всъщност изследванията на нейната фирма показват, че е по-вероятно обратното, защото хората са по-склонни да закупят устройство с етикет за поверителност и сигурност.
В крайна сметка Хенеси вярва, че комбинация от стандарти и сертификати като тази, заедно с разпоредби и законодателство е необходима, за да се решат притесненията на потребителите относно поверителността и сигурността на свързаните устройства. Но този ход е голяма стъпка в правилната посока.