Стандартизират сигурността на умните домашни устройства
Нов етикет „ PSV ” ще оказва помощ при избора на смарт-уреди с добра защита
Нова сертификационна стратегия ще удостоверява сигурността на умните домашни устройства сходно на етикета за енергийна успеваемост (снимка: CC0 Public Domain)
Няма спор какъв брой потребни са обвързваните домашни устройства като видео-домофони и смарт-крушки. Но въпреки всичко би трябвало да сме деликатни в потреблението им, изключително след години на четене за хаквания на охранителни камери и аквариуми, ботнет-атаки с хладилници или четки за зъби, както и за интелигентни печки, които се включват сами. Ето, че нова стратегия на Connectivity Standards Alliance (CSA), групата-създател на стандарта за образован дом „ Matter “, е на път да ни даде инструмент за възстановяване на сигурността на умните домашни устройства.
Обявената преди броени дни спецификация за сигурност на IoT устройствата на CSA се обрисува като главен стандарт за киберсигурност и по едно и също време с това стратегия за узаконяване. Тя има за цел да даде обединен документ за сигурност за потребителски IoT устройства, признаван по целия свят.
още по темата
Производителите на устройства, които се придържат към спецификацията и минават през процеса на узаконяване, ще могат да носят новата маркировка за „ тествана сигурност на продукта “ (PSV). Ако дадена смарт-камера за сигурност или умна електрическа крушка носи знака, то потребителите ще знаят, че тя дава отговор на серия условията за сигурност – и може да е добре предпазена от злонамерени опити за хакване и други прониквания.
„ Изследванията непрестанно демонстрират, че потребителите правят оценка сигурността като значим фактор за покупката на устройство. Но те не знаят какво да търсят от позиция на сигурността, с цел да вземат осведомено решение “, споделя Юджийн Лидерман, шеф на тактиката за мобилна сигурност в Гугъл. „ Програми като тази ще дадат на потребителите елементарен, елементарно различим знак, който да търсят “.
Лидерман е част от работната група на CSA, която дефинира спецификацията 1.0 за програмата. А тя е създадена от над 200 компании-членки на CSA. Продуктите, носещи маркировка „ PSV “, може да стартират да се появяват на пазара незабавно след идния празничен сезон, счита Тобин Ричардсън, основен изпълнителен шеф на CSA.
Съобщението на организацията на 18 март пристигна по петите на други вести по тематиката, все от предходната седмица. В Съединени американски щати бе утвърдено използването на местна нова стратегия за етикиране на киберсигурността за потребителски IoT устройства. В Европейския съюз при започване на март Европейският парламент утвърди Закона за кибер-устойчивост, който дефинира редица условия за киберсигурност за всички „ артикули с цифрови детайли “ („ PDE “), пускани на пазара на Европейски Съюз. Междувременно аналогична стратегия има и Сингапур.
Крайният резултат от работата на CSA е единна спецификация и стратегия за узаконяване, която може да работи в голям брой страни.
Изискванията на CSA
Ричардсън споделя, че задачата е маркировката „ PSV “ на CSA да бъде приета от държавните управления на другите страни. Така производителите ще могат да минават единствено през един развой на узаконяване, с цел да продават продуктите си на всички съществени пазари. Това може да понижи разноските и сложността – и да донесе по-голям избор на потребителите.
Знакът „ PSV “ към този момент се признава от Агенцията за киберсигурност на Сингапур. CSA споделя, че работи по взаимно признание с сходни стратегии в Съединени американски щати, Европейски Съюз и Обединеното кралство. „ Това е доста евентуално, а в някои [страни] е несъмнено “, споделя Ричардсън. „ Основно е въпрос на обвързване на някои документи “.
За да получат маркировка „ PSV “, устройствата ще би трябвало да дават отговор на IoT Device Security Specification 1.0 и да преминат през стратегия за узаконяване. Тя включва отговаряне на въпросник и даване на съпътстващи доказателства на оторизирана тестова лаборатория.
Акцентите на условията включват:
Според CSA, доброволната стратегия се ползва за множеството свързани интелигентни домашни устройства – в това число електрически крушки, превключватели, термостати и камери за сигурност. Тя може и да се приложи със задна дата за артикули, които към този момент са на пазара. Заедно с етикета „ PSV “ е желателно да има „ отпечатан URL, уеб-връзка или QR код в маркировката “, който да дава на потребителите достъп до повече информация за функционалностите за сигурност на устройството, прецизира CSA в известието си за пресата.
Програмата е съсредоточена особено върху сигурността на устройството – гарантирайки, че самото физическо устройство не може да бъде налично – а не толкоз върху поверителността. „ Но има тясна връзка в смисъл, че не можете да имате дискретност, без да имате сигурност “, споделя Ричардсън. Въпреки че сигурността въздейства върху поверителността, основаната нова стратегия не постанова доста условия за това по какъв начин производителят употребява данните, които устройството събира. CSA има обособена работна група по отношение на дискретност на данните, която се занимава с тази тематика.
По-добра сигурност, само че към момента не е съвършена
Текущата итерация на програмата не е вълшебна пръчица за решение на проблеми със сигурността на IoT устройствата. Стив Хана от Infineon Technologies, 25-годишен откривател в региона на киберсигурността и ръководител на работната група на CSA за програмата, споделя, че има още неща, което би желал да види в спецификацията.
„ Но ние първо се учим да пълзим, след това да вървим и едвам по-късно да бягаме “, споделя той. „ Огромна крачка напред е въобще да имаме световен потребителски IoT документ за сигурност! Много по-добре е, в сравнение с да няма никакъв “.
Лидерман от Гугъл също показва, че спазването на минималния стандарт за сигурност не подсигурява, че обещано устройство е напълно без уязвимости. „ Ние мощно имаме вяра, че промишлеността би трябвало да вдигне летвата с времето, изключително за сензитивните продуктови категории “, споделя той.
CSA възнамерява да актуализира спецификацията. Организацията ще изисква фирмите да се ресертифицират най-малко на всеки три години. Освен това, съгласно Ричардсън, ще има условие за развой на реагиране при произшествия, тъй че в случай че дадена компания срещне проблем със сигурността, тя би трябвало да ги поправя, след което може да бъде наново сертифицирана.
За да отговори на опасенията по отношение на злоупотребата с етикета, CSA ще разполага с база данни с всички сертифицирани артикули на уеб страницата си. Така изказванията на даден производител по отношение на сертификацията ще могат да се ревизират.
CSA споделя и, че има проекти информацията да бъде налична в API, което би могло да разреши на обещано приложение за платформа за образован дом да предизвестява потребителите за положението на сигурността на ново устройство, преди то да може да се причисли към съответната мрежа.
Без огромни упования
Организацията предизвестява да не тръгваме с прекомерно високи упования. „ Някои компании са разчувствани от това да признаят работата, която към този момент са свършили, само че не би трябвало да чакаме всеки артикул да има това “, споделя Ричардсън.
Някои може да открият, че имат проблеми, които значат, че не могат да получат документ. „ Ако или когато те се изискват от държавните управления, това е мястото, където гумата излиза на пътя “, добавя той.
Една доброволческа стратегия може да наподобява като капка в морето, само че тя взема решение два съществени казуса. За производителите това улеснява спазването на наредбите от голям брой страни в една стъпка. За потребителите отваря път към информация за това към какъв вид практики за сигурност се придържа дадена компания.
„ Без етикет или маркировка може да бъде мъчно като консуматор да вземе решение за покупка от позиция на сигурността “, споделя Холи Хенеси, специалист по IoT киберсигурност в софтуерната анализаторска компания Omdia.
Докато програмата е доброволна, това може да бъде спънка за приемането, споделя Хенеси. Но в действителност проучванията на нейната компания демонстрират, че е по-вероятно противоположното, тъй като хората са по-склонни да закупят устройство с етикет за дискретност и сигурност.
В последна сметка Хенеси има вяра, че композиция от стандарти и документи като тази, дружно с разпореждания и законодателство е нужна, с цел да се решат терзанията на потребителите по отношение на поверителността и сигурността на обвързваните устройства. Но този ход е огромна стъпка в вярната посока.
Нова сертификационна стратегия ще удостоверява сигурността на умните домашни устройства сходно на етикета за енергийна успеваемост (снимка: CC0 Public Domain)
Няма спор какъв брой потребни са обвързваните домашни устройства като видео-домофони и смарт-крушки. Но въпреки всичко би трябвало да сме деликатни в потреблението им, изключително след години на четене за хаквания на охранителни камери и аквариуми, ботнет-атаки с хладилници или четки за зъби, както и за интелигентни печки, които се включват сами. Ето, че нова стратегия на Connectivity Standards Alliance (CSA), групата-създател на стандарта за образован дом „ Matter “, е на път да ни даде инструмент за възстановяване на сигурността на умните домашни устройства.
Обявената преди броени дни спецификация за сигурност на IoT устройствата на CSA се обрисува като главен стандарт за киберсигурност и по едно и също време с това стратегия за узаконяване. Тя има за цел да даде обединен документ за сигурност за потребителски IoT устройства, признаван по целия свят.
още по темата
Производителите на устройства, които се придържат към спецификацията и минават през процеса на узаконяване, ще могат да носят новата маркировка за „ тествана сигурност на продукта “ (PSV). Ако дадена смарт-камера за сигурност или умна електрическа крушка носи знака, то потребителите ще знаят, че тя дава отговор на серия условията за сигурност – и може да е добре предпазена от злонамерени опити за хакване и други прониквания.
„ Изследванията непрестанно демонстрират, че потребителите правят оценка сигурността като значим фактор за покупката на устройство. Но те не знаят какво да търсят от позиция на сигурността, с цел да вземат осведомено решение “, споделя Юджийн Лидерман, шеф на тактиката за мобилна сигурност в Гугъл. „ Програми като тази ще дадат на потребителите елементарен, елементарно различим знак, който да търсят “.
Лидерман е част от работната група на CSA, която дефинира спецификацията 1.0 за програмата. А тя е създадена от над 200 компании-членки на CSA. Продуктите, носещи маркировка „ PSV “, може да стартират да се появяват на пазара незабавно след идния празничен сезон, счита Тобин Ричардсън, основен изпълнителен шеф на CSA.
Съобщението на организацията на 18 март пристигна по петите на други вести по тематиката, все от предходната седмица. В Съединени американски щати бе утвърдено използването на местна нова стратегия за етикиране на киберсигурността за потребителски IoT устройства. В Европейския съюз при започване на март Европейският парламент утвърди Закона за кибер-устойчивост, който дефинира редица условия за киберсигурност за всички „ артикули с цифрови детайли “ („ PDE “), пускани на пазара на Европейски Съюз. Междувременно аналогична стратегия има и Сингапур.
Крайният резултат от работата на CSA е единна спецификация и стратегия за узаконяване, която може да работи в голям брой страни.
Изискванията на CSA
Ричардсън споделя, че задачата е маркировката „ PSV “ на CSA да бъде приета от държавните управления на другите страни. Така производителите ще могат да минават единствено през един развой на узаконяване, с цел да продават продуктите си на всички съществени пазари. Това може да понижи разноските и сложността – и да донесе по-голям избор на потребителите.
Знакът „ PSV “ към този момент се признава от Агенцията за киберсигурност на Сингапур. CSA споделя, че работи по взаимно признание с сходни стратегии в Съединени американски щати, Европейски Съюз и Обединеното кралство. „ Това е доста евентуално, а в някои [страни] е несъмнено “, споделя Ричардсън. „ Основно е въпрос на обвързване на някои документи “.
За да получат маркировка „ PSV “, устройствата ще би трябвало да дават отговор на IoT Device Security Specification 1.0 и да преминат през стратегия за узаконяване. Тя включва отговаряне на въпросник и даване на съпътстващи доказателства на оторизирана тестова лаборатория.
Акцентите на условията включват:
Според CSA, доброволната стратегия се ползва за множеството свързани интелигентни домашни устройства – в това число електрически крушки, превключватели, термостати и камери за сигурност. Тя може и да се приложи със задна дата за артикули, които към този момент са на пазара. Заедно с етикета „ PSV “ е желателно да има „ отпечатан URL, уеб-връзка или QR код в маркировката “, който да дава на потребителите достъп до повече информация за функционалностите за сигурност на устройството, прецизира CSA в известието си за пресата.
Програмата е съсредоточена особено върху сигурността на устройството – гарантирайки, че самото физическо устройство не може да бъде налично – а не толкоз върху поверителността. „ Но има тясна връзка в смисъл, че не можете да имате дискретност, без да имате сигурност “, споделя Ричардсън. Въпреки че сигурността въздейства върху поверителността, основаната нова стратегия не постанова доста условия за това по какъв начин производителят употребява данните, които устройството събира. CSA има обособена работна група по отношение на дискретност на данните, която се занимава с тази тематика.
По-добра сигурност, само че към момента не е съвършена
Текущата итерация на програмата не е вълшебна пръчица за решение на проблеми със сигурността на IoT устройствата. Стив Хана от Infineon Technologies, 25-годишен откривател в региона на киберсигурността и ръководител на работната група на CSA за програмата, споделя, че има още неща, което би желал да види в спецификацията.
„ Но ние първо се учим да пълзим, след това да вървим и едвам по-късно да бягаме “, споделя той. „ Огромна крачка напред е въобще да имаме световен потребителски IoT документ за сигурност! Много по-добре е, в сравнение с да няма никакъв “.
Лидерман от Гугъл също показва, че спазването на минималния стандарт за сигурност не подсигурява, че обещано устройство е напълно без уязвимости. „ Ние мощно имаме вяра, че промишлеността би трябвало да вдигне летвата с времето, изключително за сензитивните продуктови категории “, споделя той.
CSA възнамерява да актуализира спецификацията. Организацията ще изисква фирмите да се ресертифицират най-малко на всеки три години. Освен това, съгласно Ричардсън, ще има условие за развой на реагиране при произшествия, тъй че в случай че дадена компания срещне проблем със сигурността, тя би трябвало да ги поправя, след което може да бъде наново сертифицирана.
За да отговори на опасенията по отношение на злоупотребата с етикета, CSA ще разполага с база данни с всички сертифицирани артикули на уеб страницата си. Така изказванията на даден производител по отношение на сертификацията ще могат да се ревизират.
CSA споделя и, че има проекти информацията да бъде налична в API, което би могло да разреши на обещано приложение за платформа за образован дом да предизвестява потребителите за положението на сигурността на ново устройство, преди то да може да се причисли към съответната мрежа.
Без огромни упования
Организацията предизвестява да не тръгваме с прекомерно високи упования. „ Някои компании са разчувствани от това да признаят работата, която към този момент са свършили, само че не би трябвало да чакаме всеки артикул да има това “, споделя Ричардсън.
Някои може да открият, че имат проблеми, които значат, че не могат да получат документ. „ Ако или когато те се изискват от държавните управления, това е мястото, където гумата излиза на пътя “, добавя той.
Една доброволческа стратегия може да наподобява като капка в морето, само че тя взема решение два съществени казуса. За производителите това улеснява спазването на наредбите от голям брой страни в една стъпка. За потребителите отваря път към информация за това към какъв вид практики за сигурност се придържа дадена компания.
„ Без етикет или маркировка може да бъде мъчно като консуматор да вземе решение за покупка от позиция на сигурността “, споделя Холи Хенеси, специалист по IoT киберсигурност в софтуерната анализаторска компания Omdia.
Докато програмата е доброволна, това може да бъде спънка за приемането, споделя Хенеси. Но в действителност проучванията на нейната компания демонстрират, че е по-вероятно противоположното, тъй като хората са по-склонни да закупят устройство с етикет за дискретност и сигурност.
В последна сметка Хенеси има вяра, че композиция от стандарти и документи като тази, дружно с разпореждания и законодателство е нужна, с цел да се решат терзанията на потребителите по отношение на поверителността и сигурността на обвързваните устройства. Но този ход е огромна стъпка в вярната посока.
Източник: technews.bg
КОМЕНТАРИ