- PVSM.RU - https://www.pvsm.ru -

Где вводят официальные рекомендации для защиты домашнего Wi-Fi — инициативы Сингапура и ЕС

Власти Сингапура объявили об очередном этапе реализации государственной ИБ-стратегии. Разбираемся, в чем состоят их предложения, где еще обеспокоены безопасностью домашнего интернета и что хотели бы предпринять для защиты граждан от действий злоумышленников.

P.S. На днях мы рассказали о том, чем интересен рынок интернет-провайдеров [1] Румынии.

Unsplash / Ann
Unsplash / Ann

Что случилось

Стратегию информационной безопасности Сингапура представили еще в 2016 году, но до ввода отдельных мер дошли только сейчас — в момент, когда риски, связанные с массовым распространением новых типов IoT-устройств, стало слишком сложно игнорировать, а общий уровень киберпреступности удвоился и перевалил [2] пятидесятипроцентный порог темпов роста.

Дополнительным стимулом послужила эпидемиологическая обстановка, спровоцировавшая [3] переход около шестидесяти процентов организаций на дистанционку. По этому показателю Сингапур даже стал одним из лидеров среди стран Азиатско-Тихоокеанского региона (АТР).

Как решили действовать

На основе национальной стратегии была разработана дорожная карта по защите сетевой инфраструктуры и обеспечения ИБ-интересов граждан страны. В рамках первого направления Сингапур планирует наладить сотрудничество с коллегами по АТР, а по второму — начал самостоятельную работу. Профильное министерство (CSA [4]) уже представило стандартизированную схему маркировки устройств (Cybersecurity Labelling Scheme, CLS) — smart-гаджетов, маршрутизаторов и «систем умного дома» — по уровню защищенности [5]:

  • Level 1 — продукт соответствует требованиям [6] к регулярным обновлениям (ИБ-патчи) и устанавливаемым по умолчанию мерам защиты (парольным фразам);

  • Level 2 — для процесса проектирования, сборки и всего жизненного цикла продукта разработчики моделировали, оценили и минимизировали угрозы (Security-by-Design), привели продукт в соответствие требованиям IMDA IoT Cyber Security Guide [7];

  • Level 3 — программная начинка устройства прошла лабораторное автоматизированное тестирование на наличие «бинарных» уязвимостей, вредоносов и бэкдоров;

  • Level 4 — продукт прошел пентесты [8] и соответствует требованиям третьего уровня.

Unsplash / Stephen Phillips
Unsplash / Stephen Phillips

В CSA решили первым делом запустить такую «маркировку» для домашних маршрутизаторов и систем умного дома. Начиная с 13 апреля 2021 года продажа таких устройств в Сингапуре без соответствующей маркировки может быть запрещена (от производителей ждут соответствия хотя бы первому уровню защищенности), но менять приобретенные девайсы не потребуется.

До 6 октября 2021-го маркировка будет бесплатной, но потом потребует оплаты. Пока ее получили всего два продукта [9] бренда Kyla. Но в CSA подчеркнули, что их методика базируется на международных стандартах, поэтому проблем с дублированием сертификации быть не должно, а список устройств будет быстро расширяться.

Маркировка первого уровня для домашнего Wi-Fi и smart-девайсов подразумевает установку рандомизированных парольных фраз по умолчанию, их стойкость, отключение потенциально уязвимых интерфейсов, автоматическую загрузку ИБ-патчей, защищенный вход в систему управления устройством и проверку на несанкционированный дистанционный доступ.

Где еще вводят что-то подобное

Аналогичные фреймворки обсуждают [10] в ЕС еще с 2016 года. Так, один из них — The EU cybersecurity certification framework — был ранее представлен Европейским агентством по кибербезопасности (ENISA [11]) и вступил в силу этим летом вместе с общим пакетом мер, инкорпорированных в общий свод норм и правил под названием EU Cybersecurity Act [12].

Unsplash / Misha Feshchak
Unsplash / Misha Feshchak

ИБ-фреймворк подразумевает оценку целого спектра устройств. Требования должна выработать специальная сертификационная группа ECCG [13]. Похожее регулирование этого сегмента рынка готовятся внедрить [14] и власти Великобритании.

Пока подобные меры не встретили жесткой критики. На фоне скандала вокруг обсуждаемых предложений по регулированию сквозного шифрования [15] они выглядят как более адекватная попытка защитить интересы граждан. Но как требования по маркировке и сертификации отразятся на рынке умных гаджетов для дома в этих странах — еще предстоит увидеть.

Дополнительное чтение по теме:

Автор: VAS Experts

Источник [20]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/sertifikatsiya/358470

Ссылки в тексте:

[1] чем интересен рынок интернет-провайдеров: https://habr.com/ru/company/vasexperts/blog/524878/

[2] перевалил: https://www.zdnet.com/article/cyber-accounts-for-26-of-all-crimes-in-singapore/

[3] спровоцировавшая: https://www.straitstimes.com/singapore/cyber-security-threats-rise-as-more-work-from-home-poll

[4] CSA: https://en.wikipedia.org/wiki/Cyber_Security_Agency_(Singapore)

[5] уровню защищенности: https://www.csa.gov.sg/programmes/cybersecurity-labelling/for-manufacturers

[6] требованиям: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.00_30/en_303645v020100v.pdf

[7] IMDA IoT Cyber Security Guide: https://www.imda.gov.sg/-/media/Imda/Files/Regulation-Licensing-and-Consultations/ICT-Standards/Telecommunication-Standards/Reference-Spec/IMDA-IoT-Cyber-Security-Guide.pdf

[8] пентесты: https://en.wikipedia.org/wiki/Penetration_test

[9] всего два продукта: https://www.csa.gov.sg/programmes/cybersecurity-labelling/product-list

[10] обсуждают: https://www.digitaleurope.org/wp/wp-content/uploads/2019/01/DIGITALEUROPEs%20views%20on%20Cybersecurity%20Certification%20and%20Labelling%20Schemes.pdf

[11] ENISA: https://en.wikipedia.org/wiki/European_Union_Agency_for_Cybersecurity

[12] EU Cybersecurity Act: https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-act-brings-strong-agency-cybersecurity-and-eu-wide-rules-cybersecurity

[13] ECCG: https://ec.europa.eu/digital-single-market/en/european-cybersecurity-certification-group

[14] готовятся внедрить: https://mender.io/blog/united-kingdom-to-introduce-security-labelling-on-connected-devices

[15] скандала вокруг обсуждаемых предложений по регулированию сквозного шифрования: https://habr.com/ru/company/vasexperts/blog/524832/

[16] Работа интернет-провайдеров и развитие систем связи: https://habr.com/ru/company/vasexperts/blog/521466/

[17] Как запустить бесплатный Wi-Fi согласно законодательству: https://vasexperts.ru/blog/skat-dpi/predostavlenie-besplatnogo-wi-fi-soglasno-zakonodatelstvu/

[18] Интернет в деревню — как построить радиорелейную Wi-Fi-сеть: https://vasexperts.ru/blog/telekom/internet-v-derevnyu-stroim-radiorelejnuyu-wi-fi-set/

[19] Экономия на спичках: обсуждаем ошибки в строительстве сетей связи: https://vasexperts.ru/blog/telekom/ekonomiya-na-spichkax-i-neskolko-sposobov-vystrelit-sebe-v-nogu-kriticheskie-oshibki-v-stroitelstve-setej-operatorov-svyazi/

[20] Источник: https://habr.com/ru/post/524848/?utm_source=habrahabr&utm_medium=rss&utm_campaign=524848