Множество вещи и домакински уреди оживяха, като се сдобиха с

Множество движимости и домашен уреди „ оживяха ”, като се снабдиха с връзка към интернет
(снимка: CC0 Public Domain)

Президентът на Съединени американски щати Доналд Тръмп подписа закон за възстановяване на киберсигурността на Интернет на нещата (IoT) този месец. Така той даде ход на нещо, за което мнозина специалисти по киберсигурност от дълго време се молят – норматив за по-добрата отбрана за милиардите IoT устройства, заливащи домовете и бизнеса по целия свят.

Новият щатски закон ще изисква локалният Институт за стандарти и технологии (NIST) и Службата за ръководство и бюджет (OMB) да „ подхващат съответни стъпки за повишение на киберсигурността на IoT устройствата ”.

През последните години голям брой движимости и домашен уреди „ оживяха ”, като се снабдиха с връзка към интернет. Някои прогнози плануват, че до 2025 година ще има 41,6 милиарда IoT устройства в света – и над 1 трилион $ ще бъдат изхарчени за тях още към 2023 година. Експлозията на пазара на IoT уреди съответства с повишаването на опустошителните хакерски атаки, които се възползват от несигурността на IoT системите, с цел да причинят колкото се може повече вреди. Това бе следено доста ясно още при ботнет офанзивите по отношение на Mirai през 2016 година

Навременна или закъсняла мярка

„ Огромна стъпка за промишлеността ” – по този начин дефинира новия закон Брад Рий, механически шеф на ioXt Alliance, който работи с държавните организации, производителите и топ софтуерните компании, с цел да сътвори универсални стандарти за сигурност за обвързваните устройства от разнообразни продуктови категории. Той сподели, че е значимо общественият и частният бранш да се обединят и да основат набор от минимални условия за сигурност.

„ Въпреки че законопроектът е ориентиран към държавните поръчки, чакам мрежовите оператори, потребителските екосистеми и търговците да последват този ход, въвеждайки сходни условия за потребителските артикули ”, разяснява Рий, представен от.

Андреа Карчано и Едгард Капдевил, съосновател и основен изпълнителен шеф на IoT компанията за киберсигурност Nozomi Networks, приветстваха закона като значима първа стъпка за гарантиране, че производителите на IoT устройства усъвършенстват сигурността на своите артикули. Наскоро компанията разгласява изследване, съгласно което през първите шест месеца на тази година хакерите са употребявали IoT ботнети и са пренасочили рансъмуер офанзивите си в посока IoT устройства в оперативни мрежи.

„ Въпреки че упоритата работа по създаване на стандарти за IoT устройства не е приключена, присъединяване на NIST ще спомогне за световното въвеждане на стандартите за сигурност на IoT устройствата. А ние считаме, че това ще способства доста за възстановяване на цялостната сигурност на индустриалните и сериозните инфраструктури ”, сподели Капдевил.

Законопроектът за сигурност на IoT устройствата изисква основаване на стандарти и насоки за ръководство на рисковете от киберсигурност: несъмнено създаване, ръководство на самоличността, коригиране, ръководство на конфигурациите. Нормата изисква NIST да работи с Министерството на вътрешната сигурност на Съединени американски щати, дружно с откриватели по киберсигурност и специалисти от частния бранш. Очаква се да бъдат оповестени насоки за докладване и премахване на уязвимости.
още по тематиката
Хло Месдаги, вицепрезидент по стратегите в Point3 Security, споделя, че промишлеността на киберсигурността е разчувствана от нововъведението. То изисква стандарти за всички IoT устройства, поръчани и доставени по разпореждане на страната, което всъщност постанова всички новопроизведени IoT устройства да дават отговор на стандарти за киберсигурност.

Очаква се всички държавни служби в Съединени американски щати бързо да възприемат новия набор от насоки на NIST и да упорстват за съвместими артикули. Когато това се случи, цялата софтуерна промишленост ще бъде задължена да трансформира киберсигурността на IoT в собствен приоритет. Компаниите, които не съумеят да реализират и показват сходство с нормата, може да се окажат изхвърлени от пазара в даден миг.

Бившият шпионин на Централно разузнавателно управление на САЩ и старши вицепрезидент на KnowBe4 по кибероперациите Роза Смотърс също отбелязва, че законът изисква Службата по националната сигурност да преразглежда рекомендациите за сигурност на IоТ устройствата на не повече от пет години.

По-интересното е, че Съединени американски щати чака сходни регулации и стандарти да се появят и отвън страната. Такава е прогнозата на Янив Нисенбойм, вицепрезидент на Vdoo – платформа, която употребява AI за разкриване и премахване на уязвимости в IoT устройствата.

Дългогодишни опасения за IoT сигурността

Експертите по киберсигурност от дълго време се оплакват, че производителите на IoT устройства не вършат задоволително – или в действителност не вършат нищо, с цел да подсигуряват сигурността на устройствата, които оферират. Така се оказва, че тези джаджи могат да дадат достъп на хакери до цели домашни и корпоративни мрежи.

Едни от най-често атакуваните IoT устройства са умните прахосмукачки. Те към този момент станаха всеобщ артикул на пазара и участват в доста домове. Обичайно са непрекъснато свързани към домашната WiFi мрежа. Освен това, заради същността на своята работа, те „ картират ” домовете, които почистват. Слабата им отбрана ги направи желан „ вход ” за хакерите през последните години.

Друг обект интерес за злосторниците са „ умните ” крушки и въобще „ умните ” осветителни системи. Не по-спокойна е обстановката, когато става дума за артикули за опазването на здравето, да вземем за пример.

Някои производители, в устрема си да излязат от обстановката и да се отърват от артикули, станали печално известни като „ пробойни ” за сигурността, вземат решение просто да спрат да оферират и поддържат въпросните артикули. Това поставяа в извънредно неприятна обстановка всички, които в даден миг са закупили сходни артикули – било то „ смарт ” лампи или „ смарт ” бойлери.

На прага на 5G

Стефано Де Бласи, откривател на заканите в Digital Shadows, разяснява, че възходът на 5G безспорно ще подтиква още по-голяма „ детонация ” на IoT устройства. Но свързването на тези устройства в частни корпоративни мрежи уголемява повърхността за офанзиви. Това евентуално излага на риск чувствителни данни като медицински данни, персонална информация, проекти на работното място.

В този смисъл новата норма е напълно навременна, в случай че не и леко закъсняла, считат специалистите. Сега те са въодушевени от вероятността за общоприети стандарти за отбрана на IoT устройствата. По света ще има милиарди джаджи от този тип и ще е въпрос на чест за производителите да могат да кажат, „ ето, това устройство дава отговор на стандартите за сигурност ”, уверени са специалистите по киберзащита.