- PVSM.RU - https://www.pvsm.ru -
В Калифорнии приняли [1] закон SB-327 о безопасности IoT-устройств. Он обязывает разработчиков смарт-систем создавать для них уникальную пару логин — пароль. Документ уже отдали на подпись губернатору штата. Рассказываем о мнении сообщества и влиянии нового закона на развитие индустрии.
[2]
/ Flickr / Al King [3] / CC [4]
Документ SB-327 [5], который носит название «Информационная безопасность: подключенные устройства», разрабатывался [6] сенаторами Калифорнии с февраля прошлого года. Под «подключенными устройствами» в этом случае понимаются все гаджеты, имеющие подключение к интернету, IP-адрес или Bluetooth.
Сенатор Ханна-Бет Джексон (Hannah-Beth Jackson), которая является автором законопроекта, говорит [6], что такой закон должен был появиться уже давно. По её словам, простые потребители редко интересуются вопросами безопасности приобретаемых ими гаджетов, потому разработчики не торопятся устранять уязвимости в защите.
Особую важность проблема приобретает в случае с детскими игрушками. В качестве примера в дополнениях к законопроекту сенаторы приводят ситуацию с куклами My Friend Cayla (документ Senate Floor Analyses от 28.08.18 числа [7]). Они умеют общаться с детьми и переправляют записи на серверы производителя, например, чтобы проанализировать вопрос и найти на него ответ. Это создает потенциальную уязвимость для персональных данных ребенка. По этой причине в Германии вообще запретили продажу [8] таких кукол.
Основное требование калифорнийского закона заключается [9] в том, что каждый производитель IoT-устройств должен будет снабдить свои гаджеты «надлежащими средствами защиты». Степень защиты зависит от функции устройства и информации, которую оно использует и передает.
В законе не сказано, что имеется в виду под «надлежащей защитой», однако прописаны требования к механизмам аутентификации. Если подключенное устройство имеет выход в интернет, то его система аутентификации должна удовлетворять одному из двух критериев. Первый — производитель сам создает уникальные комбинации логина и пароля для каждого отдельного устройства. Второй — разработчик обязывает покупателя изменить стандартные заводские данные для входа при первом использовании техники.
Под действие закона попадают все компании, которые производят или продают IoT-девайсы на территории Калифорнии. SB-327 вступит в силу 1 января 2020 года.
Новый закон встретили неоднозначно. Часть пользователей и экспертов согласилась, что запрет стандартных паролей хоть немного, но повысит безопасность IoT-устройств. Однако отсутствие других конкретных требований к производителям смутило сообщество.
Специалисты по кибербезопасности приняли закон скептически. Одним из главных критиков стал Роберт Грэхем (Robert Graham), эксперт по кибербезопасности в компании Errata Security. Роберт пишет [10], что формулировки о «средствах защиты» слишком расплывчаты, поэтому организациям будет тяжело определить критерии для соответствия требованиям акта.
Более того, указать в законе способы противодействия конкретным угрозам невозможно, потому что новые виды атак появляются постоянно. Грэхем считает, что способы защиты IoT невозможно определить в законодательстве, и SB-327 приведет только к увеличению затрат на производство умных устройств.
Закон бесполезен и по мнению [11] вице-президента по продукту Armis Джо Ли (Joe Lea). Его компания создает платформу для защиты IoT-сетей. По словам Джо, безопасность интернета вещей — это сложная отрасль, которая не ограничивается вопросами паролей для устройств.
Ряд экспертов по ИБ поддержали новый законопроект. Одним из таких людей стал Бо Вудс (Beau Woods), специалист по безопасности в аналитическом центре Atlantic Council. По его словам [12], расплывчатые формулировки в законодательстве использованы намеренно. Это позволит компаниям самостоятельно разработать требования к защите устройств.
Многие специалисты считают, что даже неидеальный закон — лучше, чем его отсутствие. Автор книг по кибербезопасности и криптограф Брюс Шнайер (Bruce Schneier) сказал [13], что SB-327 — шаг в верном направлении, хотя этого документа недостаточно для полноценного регулирования IoT.
«Закон должен помочь в решении проблемы несанкционированного доступа к девайсам. Однако панацеей не является, — комментирует начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru [14] Сергей Белкин. — Уникальные и надежные пароли должны усложнить взлом смарт-гаджетов с помощью банального перебора по словарю. Однако есть множество других способов получения доступа к девайсам, например перепривязывание DNS [15]. Этому типу атак подвержены более полумиллиарда IoT-устройств по всему миру».
Пользователи в целом поддерживают инициативу правительства Калифорнии. Резиденты Hacker News отмечают [16], что пароли производителей могут быть слишком предсказуемыми и совпадать с серийным номером. Но это решение лучше, чем стандартный пароль для всех устройств одной модели.
Некоторые пользователи считают закон бессмысленным. Комментатор на Slashdot указал [17], что чаще всего проблемы с безопасностью IoT-девайсов не решаются заменой пароля и связаны с уязвимостями в прошивке и программных модулях. Например, в 2017 году баг обнаружили [18] в библиотеке gSOAP, которую используют производители IoT-устройств. В ходе демонстрации специалисты по безопасности взломали домашнюю камеру и получили изображение с неё.
Над законами по защите интернета вещей работает не только Калифорния. За прошедший год в Конгресс США внесли несколько проектов на эту тему. Среди них — Securing IoT Act of 2017 и Internet of Things Cybersecurity Improvement Act of 2017, которые требуют от федеральных агентств разработать стандартные требования безопасности к IoT-устройствам.
До этого американское правительство выпускало руководства для производителей смарт-устройств, в которых были собраны рекомендации по защите персональных данных пользователей. Например, такой документ [19] в 2015 году опубликовала Федеральная торговая комиссия (FTC).
/ Flickr / coniferconifer [20] / CC [4]
В Европе тоже есть подобные документы, в частности, директива [21] о безопасности сетей и информационных систем (NIS Directive), принятая в июле 2016 года. Она не касается интернета вещей напрямую, но устанавливает требования к защите систем компаний в критически важных сферах: энергетике, финансах, здравоохранении, транспортной отрасли. Документ содержит только список правил, а методы их реализации каждое государство Евросоюза должно определить самостоятельно.
Закон о защите IoT-устройств разрабатывает [22] и австралийское правительство. По словам политиков, они стремятся создать сбалансированный документ, который защитит потребителей и не ограничит инновации в IoT. Для этого регулятор ведет диалог с представителями индустрии. Пока политики лишь обсуждают требования к производителям смарт-устройств.
Таким образом, калифорнийский закон стал первым, в котором формулируются общие требования ко всем производителям IoT-устройств. И хотя он неидеален, есть мнение [23], что директива станет ориентиром для других стран и положит начало активной работе над безопасностью умных гаджетов.
Автор: 1cloud
Источник [28]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/iot/296202
Ссылки в тексте:
[1] приняли: https://www.theregister.co.uk/2018/10/04/california_iot_password/
[2] Image: https://habr.com/company/1cloud/blog/426853/
[3] Al King: https://flic.kr/p/5WrJcf
[4] CC: https://creativecommons.org/licenses/by/2.0/
[5] SB-327: https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327
[6] разрабатывался: https://sd19.senate.ca.gov/news/2018-09-28-governor-signs-jackson-legislation-require-smart-device-security
[7] документ Senate Floor Analyses от 28.08.18 числа: http://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327
[8] запретили продажу: https://xakep.ru/2017/02/20/my-friend-cayla-is-a-spy/
[9] заключается: https://www.zdnet.com/article/first-iot-security-bill-reaches-governors-desk-in-california/
[10] пишет: https://blog.erratasec.com/2018/09/californias-bad-iot-law.html
[11] мнению: https://threatpost.com/experts-bemoan-shortcomings-with-iot-security-bill/137409/
[12] словам: https://www.technologyreview.com/s/612126/california-wants-to-stop-hackers-from-taking-control-of-smart-gadgets/
[13] сказал: https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/09/17/the-cybersecurity-202-california-s-internet-of-things-cybersecurity-bill-could-lay-groundwork-for-federal-action/5b9e6e331b326b47ec959638/
[14] 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog
[15] перепривязывание DNS: https://ru.wikipedia.org/wiki/DNS_rebinding
[16] отмечают: https://news.ycombinator.com/item?id=18147380
[17] указал: https://it.slashdot.org/comments.pl?sid=12682374&cid=57394636
[18] обнаружили: https://xakep.ru/2017/07/20/gsoap-bug/
[19] документ: https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf
[20] coniferconifer: https://www.flickr.com/photos/conifer/39235666845/
[21] директива: https://www.itgovernance.eu/blog/en/what-is-the-nis-directive
[22] разрабатывает: https://www.loopsec.com.au/blog-events/blog/iot-regulation-still-catching-up
[23] есть мнение: https://www.rfidjournal.com/articles/view?17025
[24] DevOps в облачном сервисе: разбираем подход на примере 1cloud.ru: https://1cloud.ru/blog/devops-v-razrabotke-oblaka-1cloud?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog
[25] Минимизация рисков: как не потерять ваши данные: https://1cloud.ru/blog/minimizazia-it-riskov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog
[26] «О персональных данных»: в чём суть ФЗ-152?: https://1cloud.ru/blog/personalnye-dannye-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog
[27] Персональные данные: как их защитить: https://1cloud.ru/blog/personalnye-dannye-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog
[28] Источник: https://habr.com/post/426853/?utm_campaign=426853
Нажмите здесь для печати.