- PVSM.RU - https://www.pvsm.ru -

«S in IoT Stands for Security»: принят первый в мире закон о защите смарт-гаджетов — разбираемся, в чем суть

В Калифорнии приняли [1] закон SB-327 о безопасности IoT-устройств. Он обязывает разработчиков смарт-систем создавать для них уникальную пару логин — пароль. Документ уже отдали на подпись губернатору штата. Рассказываем о мнении сообщества и влиянии нового закона на развитие индустрии.

«S in IoT Stands for Security»: принят первый в мире закон о защите смарт-гаджетов — разбираемся, в чем суть - 1 [2]
/ Flickr / Al King [3] / CC [4]

В чем суть

Документ SB-327 [5], который носит название «Информационная безопасность: подключенные устройства», разрабатывался [6] сенаторами Калифорнии с февраля прошлого года. Под «подключенными устройствами» в этом случае понимаются все гаджеты, имеющие подключение к интернету, IP-адрес или Bluetooth.

Сенатор Ханна-Бет Джексон (Hannah-Beth Jackson), которая является автором законопроекта, говорит [6], что такой закон должен был появиться уже давно. По её словам, простые потребители редко интересуются вопросами безопасности приобретаемых ими гаджетов, потому разработчики не торопятся устранять уязвимости в защите.

Особую важность проблема приобретает в случае с детскими игрушками. В качестве примера в дополнениях к законопроекту сенаторы приводят ситуацию с куклами My Friend Cayla (документ Senate Floor Analyses от 28.08.18 числа [7]). Они умеют общаться с детьми и переправляют записи на серверы производителя, например, чтобы проанализировать вопрос и найти на него ответ. Это создает потенциальную уязвимость для персональных данных ребенка. По этой причине в Германии вообще запретили продажу [8] таких кукол.

Основное требование калифорнийского закона заключается [9] в том, что каждый производитель IoT-устройств должен будет снабдить свои гаджеты «надлежащими средствами защиты». Степень защиты зависит от функции устройства и информации, которую оно использует и передает.

В законе не сказано, что имеется в виду под «надлежащей защитой», однако прописаны требования к механизмам аутентификации. Если подключенное устройство имеет выход в интернет, то его система аутентификации должна удовлетворять одному из двух критериев. Первый — производитель сам создает уникальные комбинации логина и пароля для каждого отдельного устройства. Второй — разработчик обязывает покупателя изменить стандартные заводские данные для входа при первом использовании техники.

Под действие закона попадают все компании, которые производят или продают IoT-девайсы на территории Калифорнии. SB-327 вступит в силу 1 января 2020 года.

Мнения о законе

Новый закон встретили неоднозначно. Часть пользователей и экспертов согласилась, что запрет стандартных паролей хоть немного, но повысит безопасность IoT-устройств. Однако отсутствие других конкретных требований к производителям смутило сообщество.

Специалисты по кибербезопасности приняли закон скептически. Одним из главных критиков стал Роберт Грэхем (Robert Graham), эксперт по кибербезопасности в компании Errata Security. Роберт пишет [10], что формулировки о «средствах защиты» слишком расплывчаты, поэтому организациям будет тяжело определить критерии для соответствия требованиям акта.

Более того, указать в законе способы противодействия конкретным угрозам невозможно, потому что новые виды атак появляются постоянно. Грэхем считает, что способы защиты IoT невозможно определить в законодательстве, и SB-327 приведет только к увеличению затрат на производство умных устройств.

Закон бесполезен и по мнению [11] вице-президента по продукту Armis Джо Ли (Joe Lea). Его компания создает платформу для защиты IoT-сетей. По словам Джо, безопасность интернета вещей — это сложная отрасль, которая не ограничивается вопросами паролей для устройств.

Ряд экспертов по ИБ поддержали новый законопроект. Одним из таких людей стал Бо Вудс (Beau Woods), специалист по безопасности в аналитическом центре Atlantic Council. По его словам [12], расплывчатые формулировки в законодательстве использованы намеренно. Это позволит компаниям самостоятельно разработать требования к защите устройств.

Многие специалисты считают, что даже неидеальный закон — лучше, чем его отсутствие. Автор книг по кибербезопасности и криптограф Брюс Шнайер (Bruce Schneier) сказал [13], что SB-327 — шаг в верном направлении, хотя этого документа недостаточно для полноценного регулирования IoT.

«Закон должен помочь в решении проблемы несанкционированного доступа к девайсам. Однако панацеей не является, — комментирует начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru [14] Сергей Белкин. — Уникальные и надежные пароли должны усложнить взлом смарт-гаджетов с помощью банального перебора по словарю. Однако есть множество других способов получения доступа к девайсам, например перепривязывание DNS [15]. Этому типу атак подвержены более полумиллиарда IoT-устройств по всему миру».

Пользователи в целом поддерживают инициативу правительства Калифорнии. Резиденты Hacker News отмечают [16], что пароли производителей могут быть слишком предсказуемыми и совпадать с серийным номером. Но это решение лучше, чем стандартный пароль для всех устройств одной модели.

Некоторые пользователи считают закон бессмысленным. Комментатор на Slashdot указал [17], что чаще всего проблемы с безопасностью IoT-девайсов не решаются заменой пароля и связаны с уязвимостями в прошивке и программных модулях. Например, в 2017 году баг обнаружили [18] в библиотеке gSOAP, которую используют производители IoT-устройств. В ходе демонстрации специалисты по безопасности взломали домашнюю камеру и получили изображение с неё.

Кто еще разрабатывает законы для IoT

Над законами по защите интернета вещей работает не только Калифорния. За прошедший год в Конгресс США внесли несколько проектов на эту тему. Среди них — Securing IoT Act of 2017 и Internet of Things Cybersecurity Improvement Act of 2017, которые требуют от федеральных агентств разработать стандартные требования безопасности к IoT-устройствам.

До этого американское правительство выпускало руководства для производителей смарт-устройств, в которых были собраны рекомендации по защите персональных данных пользователей. Например, такой документ [19] в 2015 году опубликовала Федеральная торговая комиссия (FTC).

«S in IoT Stands for Security»: принят первый в мире закон о защите смарт-гаджетов — разбираемся, в чем суть - 2
/ Flickr / coniferconifer [20] / CC [4]

В Европе тоже есть подобные документы, в частности, директива [21] о безопасности сетей и информационных систем (NIS Directive), принятая в июле 2016 года. Она не касается интернета вещей напрямую, но устанавливает требования к защите систем компаний в критически важных сферах: энергетике, финансах, здравоохранении, транспортной отрасли. Документ содержит только список правил, а методы их реализации каждое государство Евросоюза должно определить самостоятельно.

Закон о защите IoT-устройств разрабатывает [22] и австралийское правительство. По словам политиков, они стремятся создать сбалансированный документ, который защитит потребителей и не ограничит инновации в IoT. Для этого регулятор ведет диалог с представителями индустрии. Пока политики лишь обсуждают требования к производителям смарт-устройств.

Таким образом, калифорнийский закон стал первым, в котором формулируются общие требования ко всем производителям IoT-устройств. И хотя он неидеален, есть мнение [23], что директива станет ориентиром для других стран и положит начало активной работе над безопасностью умных гаджетов.

Несколько свежих материалов из нашего корпоративного блога:

Автор: 1cloud

Источник [28]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/iot/296202

Ссылки в тексте:

[1] приняли: https://www.theregister.co.uk/2018/10/04/california_iot_password/

[2] Image: https://habr.com/company/1cloud/blog/426853/

[3] Al King: https://flic.kr/p/5WrJcf

[4] CC: https://creativecommons.org/licenses/by/2.0/

[5] SB-327: https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327

[6] разрабатывался: https://sd19.senate.ca.gov/news/2018-09-28-governor-signs-jackson-legislation-require-smart-device-security

[7] документ Senate Floor Analyses от 28.08.18 числа: http://leginfo.legislature.ca.gov/faces/billAnalysisClient.xhtml?bill_id=201720180SB327

[8] запретили продажу: https://xakep.ru/2017/02/20/my-friend-cayla-is-a-spy/

[9] заключается: https://www.zdnet.com/article/first-iot-security-bill-reaches-governors-desk-in-california/

[10] пишет: https://blog.erratasec.com/2018/09/californias-bad-iot-law.html

[11] мнению: https://threatpost.com/experts-bemoan-shortcomings-with-iot-security-bill/137409/

[12] словам: https://www.technologyreview.com/s/612126/california-wants-to-stop-hackers-from-taking-control-of-smart-gadgets/

[13] сказал: https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/09/17/the-cybersecurity-202-california-s-internet-of-things-cybersecurity-bill-could-lay-groundwork-for-federal-action/5b9e6e331b326b47ec959638/

[14] 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog

[15] перепривязывание DNS: https://ru.wikipedia.org/wiki/DNS_rebinding

[16] отмечают: https://news.ycombinator.com/item?id=18147380

[17] указал: https://it.slashdot.org/comments.pl?sid=12682374&cid=57394636

[18] обнаружили: https://xakep.ru/2017/07/20/gsoap-bug/

[19] документ: https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

[20] coniferconifer: https://www.flickr.com/photos/conifer/39235666845/

[21] директива: https://www.itgovernance.eu/blog/en/what-is-the-nis-directive

[22] разрабатывает: https://www.loopsec.com.au/blog-events/blog/iot-regulation-still-catching-up

[23] есть мнение: https://www.rfidjournal.com/articles/view?17025

[24] DevOps в облачном сервисе: разбираем подход на примере 1cloud.ru: https://1cloud.ru/blog/devops-v-razrabotke-oblaka-1cloud?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog

[25] Минимизация рисков: как не потерять ваши данные: https://1cloud.ru/blog/minimizazia-it-riskov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog

[26] «О персональных данных»: в чём суть ФЗ-152?: https://1cloud.ru/blog/personalnye-dannye-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog

[27] Персональные данные: как их защитить: https://1cloud.ru/blog/personalnye-dannye-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=IoT&utm_content=blog

[28] Источник: https://habr.com/post/426853/?utm_campaign=426853