CSA uruchamia program specyfikacji i certyfikacji bezpieczeństwa urządzeń IoT dla inteligentnych urządzeń domowych

Choć podłączone urządzenia, takie jak wideodomofony i inteligentne oświetlenie, są przydatne, warto ćwiczyć zachowaj ostrożność podczas korzystania z technologii połączonej w swoim domu, szczególnie po latach czytania hacki do kamer bezpieczeństwa, Ataki botnetów lodówkowychI inteligentne piece, które same się włączają. Jednak do tej pory nie było łatwego sposobu oceny zagrożeń bezpieczeństwa produktu. Nowy program od Sojusz na rzecz standardów łączności (CSA)grupa stojąca za standard inteligentnego domu Materiachce to naprawić.

Ogłoszony w tym tygodniu, Specyfikacja bezpieczeństwa urządzeń IoT firmy CSA to podstawowy standard i program certyfikacji cyberbezpieczeństwa, którego celem jest zapewnienie jednego, uznawanego na całym świecie certyfikatu bezpieczeństwa dla konsumenckich urządzeń IoT.

Producenci urządzeń, którzy przestrzegają specyfikacja i przejść proces certyfikacji, mogą nosić nowy znak CSA Product Security Verified (PSV). jeżeli kamera bezpieczeństwa lub inteligentna żarówka, którą kupujesz, nosi ten znak, będziesz wiedzieć, iż spełnia wymagania, które pomagają zabezpieczyć ją przed złośliwymi próbami włamań i innymi włamaniami, które mogą mieć wpływ na Twoją prywatność.

„Badania nieustannie pokazują, iż konsumenci uważają bezpieczeństwo za istotny czynnik decydujący o zakupie urządzenia, ale nie wiedzą, na co zwracać uwagę z punktu widzenia bezpieczeństwa, aby podjąć świadomą decyzję o zakupie” – mówi Eugene Liderman, dyrektor ds. strategii bezpieczeństwa urządzeń mobilnych w Google Krawędź. „Takie programy zapewnią konsumentom prosty i łatwy do zidentyfikowania wskaźnik, na który warto zwrócić uwagę”.

Liderman należy do grupy roboczej CSA, która zdefiniowała specyfikację programu w wersji 1.0, która został opracowany przez ponad 200 firm członkowskich CSA. Należą do nich (wraz z Google) Amazon, Comcast, Signify (Philips Hue) i kilku producentów chipów, takich jak Arm, Infineon i NXP.

Według Tobina Richardsona, dyrektora generalnego CSA, produkty oznaczone znakiem PSV mogą zacząć pojawiać się już w okresie świątecznych zakupów.

The Ogłoszenie CSA 18 marca następuje po zeszłotygodniowej wiadomości, iż FCC zatwierdziła wdrożenie nowego programu etykietowania cyberbezpieczeństwa dla konsumenckich urządzeń IoT w USA. Obydwa programy są dobrowolne, a etykieta CSA nie stanowi dla nich konkurencji Amerykański znak zaufania cybernetycznego. Zamiast tego idzie o krok dalej, uwzględniając wszystkie wymagania USA i dodając podstawy cyberbezpieczeństwa z podobnych programów w Singapurze i Europie. Efektem końcowym jest pojedynczy program specyfikacji i certyfikacji, który może działać w wielu krajach (patrz pasek boczny).

Richardson twierdzi, iż celem jest, aby znak PSV organizacji CSA był uznawany przez rządy, tak aby producenci mogli przejść tylko jeden proces certyfikacji, aby sprzedawać na wszystkich głównych rynkach. Mogłoby to zmniejszyć koszty i złożoność dla producentów i potencjalnie zapewnić konsumentom większy wybór.

Znak PSV był uznane przez Agencję Bezpieczeństwa Cybernetycznego Singapuru, a CSA twierdzi, iż pracuje nad wzajemnym uznawaniem w ramach podobnych programów w USA, UE i Wielkiej Brytanii. „To bardzo prawdopodobne, i w przypadku niektórych [countries]to pewne” – mówi Richardson. „Chodzi głównie o uporządkowanie niektórych dokumentów”.

Aby uzyskać znak PSV, urządzenia muszą być zgodne z Specyfikacja zabezpieczeń urządzeń IoT 1.0 i przejść program certyfikacji obejmujący udzielenie odpowiedzi na kwestionariusz i dostarczenie towarzyszących dowodów autoryzowanemu laboratorium badawczemu. Najważniejsze wymagania obejmują:

• Unikalna tożsamość każdego urządzenia IoT
• Brak zakodowanych na stałe haseł domyślnych
• Bezpieczne przechowywanie wrażliwych danych na urządzeniu
• Bezpieczna komunikacja informacji istotnych dla bezpieczeństwa
• Bezpieczne aktualizacje systemu przez cały okres wsparcia
• Bezpieczny proces rozwoju, w tym zarządzanie podatnościami
• Dokumentacja publiczna dotycząca bezpieczeństwa, w tym okresu wsparcia

Według CSA dobrowolny program dotyczy większości podłączonych do sieci inteligentnych urządzeń domowych – w tym żarówek, przełączników, termostatów i kamer bezpieczeństwa – i może być stosowany z mocą wsteczną do produktów dostępnych na rynku. Oprócz znaku PSV „wydrukowany adres URL, hiperłącze lub kod QR na znaku zapewnia konsumentom dostęp do większej ilości informacji na temat zabezpieczeń urządzenia” – czytamy w raporcie CSA. jego komunikat prasowy.

Program koncentruje się w szczególności na bezpieczeństwie urządzenia – upewnianiu się, iż samo urządzenie fizyczne nie będzie dostępne – a nie na prywatności. „Ale istnieje ścisły związek polegający na tym, iż nie można zapewnić prywatności bez bezpieczeństwa” – mówi Richardson. Chociaż bezpieczeństwo wpływa na prywatność, program ten nie oferuje wielu wymagań dotyczących sposobu, w jaki producent wykorzystuje dane gromadzone przez urządzenie. CSA ma oddzielny dział Grupa Robocza ds. Prywatności Danych sobie z tą puszką robaków.

Obecna iteracja programu nie jest skutecznym rozwiązaniem problemów związanych z bezpieczeństwem urządzeń IoT. Steve Hanna z Infineon Technologies, badacz cyberbezpieczeństwa z 25-letnim stażem i przewodniczący grupy roboczej CSA odpowiedzialnej za program, powiedział Krawędź pozostało wiele rzeczy, które chciałby włączyć. „Ale musimy się czołgać, chodzić, a potem biegać” – mówi. „Posiadanie globalnego certyfikatu bezpieczeństwa konsumenckiego IoT to ogromny krok naprzód. To o wiele lepsze niż jego brak.”

Liderman z Google zwraca również uwagę, iż spełnienie minimalnych standardów bezpieczeństwa nie gwarantuje, iż urządzenie będzie wolne od luk w zabezpieczeniach. „Jesteśmy głęboko przekonani, iż branża musi z czasem podnieść poprzeczkę, szczególnie w przypadku wrażliwych kategorii produktów” – mówi.

CSA planuje na bieżąco aktualizować specyfikację, wymagając od firm ponownej certyfikacji co najmniej co trzy lata. Ponadto Richardson twierdzi, iż będzie wymagany proces reagowania na incydenty, więc jeżeli firma napotka problem związany z bezpieczeństwem – np. Ostatnie problemy Wyze — musi je naprawić, zanim będzie mogła uzyskać ponowną certyfikację.

Aby rozwiać obawy związane z niewłaściwym użyciem etykiety, Hanna twierdzi, iż CSA będzie udostępniać na swojej stronie internetowej bazę danych wszystkich certyfikowanych produktów, dzięki czemu będzie można sprawdzić oświadczenia firmy. Mówi również, iż planuje się udostępnienie informacji w interfejsie API, który umożliwi aplikacji platformy inteligentnego domu powiadamianie Cię o stanie bezpieczeństwa urządzenia, zanim będzie mogło ono dołączyć do Twojej sieci.

Hanna przestrzega przed stawianiem zbyt wysokich oczekiwań. „Niektóre firmy są podekscytowane możliwością uznania ich za pracę, którą już wykonały, ale nie powinniśmy oczekiwać, iż każdy produkt będzie to posiadał” – mówi. Niektórzy mogą odkryć, iż mają problemy, które uniemożliwiają im uzyskanie certyfikatu, mówi. „Jeśli lub kiedy staną się one wymagane przez rządy, właśnie wtedy guma trafia na drogę”.

Program dobrowolny może wydawać się palcem na tamie, ale rozwiązuje dwa podstawowe problemy. Producentom ułatwia to dostosowanie się do przepisów wielu państw w jednym kroku, a konsumentom otwiera drogę do informacji o tym, jakie praktyki bezpieczeństwa stosuje dana firma.

„Bez etykiety lub znaku konsumentowi może być trudno podjąć decyzję o zakupie w oparciu o bezpieczeństwo” – mówi Hollie Hennessy, ekspert ds. cyberbezpieczeństwa IoT w firmie firma zajmująca się analityką technologiczną Omdia. Chociaż dobrowolny charakter programu może stanowić przeszkodę w przyjęciu, Hennessy twierdzi, iż badania jej firmy wskazują, iż ludzie chętniej kupują urządzenie oznaczone etykietą dotyczącą prywatności i bezpieczeństwa.

Hennessy uważa, iż ​​ostatecznie potrzebne jest połączenie takich standardów i certyfikatów, a także przepisów i przepisów, aby rozwiać obawy konsumentów dotyczące prywatności i bezpieczeństwa podłączonych urządzeń. Ale to posunięcie to duży krok we adekwatnym kierunku.