Появилась добровольная сертификация по Интернету вещей от
ICSA Labs. Пару месяцев назад я уже делал публикацию про добровольную сертификацию
FIDO по аутентификации. Собственно с ICSA Labs похожая история.
В целом идея правильная - сделать стандарт, программу тестирования и проводить проверки на добровольной основе. Но для России делать похожую систему добровольной сертификации смысла нет. Слишком мало производим и слишком маленький рынок.
Компания ICSA Labs предлагает программу по проверке безопасности, разработанную для продукции, имеющей отношение к Интернету Вещей. Она была выпущена в свет сразу после объявления о создании программы сертификации мер безопасности 'CyberUL'.
Подсоединяемые к сети девайсы, используемые в промышленности и быту – так называемый Интернет Вещей (IoT) – обрели уже вторую программу для проверки и сертификации безопасности: сегодня компания ICSA Labs представила на всеобщее обозрение свою собственную программу для поставщиков и клиентов Интернета Вещей.
Выпуск этой программы последовал сразу за долгожданной Программой Гарантии Кибербезопасности (UL CAP), запущенной в апреле компанией Underwriters Laboratories и использующей новый набор стандартов для Интернета Вещей и инфраструктуры его поставщиков с целью оценки уязвимостей и недоработок. В свою очередь, компания ICSA Labs, являющаяся независимым подразделением фирмы Verizon, заявила, что ее новая разработка протестирует шесть компонентов девайсов Интернета Вещей: предупреждение/регистрация, шифрование, аутентификация, коммуникации, физическая безопасность, безопасность платформы.
На первом этапе программа осуществляет проверку на наличие известных уязвимостей, а также проблем с аутентификацией, доступом, шифрованием, обновлением ПО. В третьем квартале этого года планируется выпустить первые сертификаты в сфере безопасности. Программа тестирует подключенные автомобили, SIM карты, встроенные SIM карты, мобильные девайсы и микросхемы, умные домашние приборы, встраиваемые мобильные элементы, беспроводные девайсы.
Джорд Джапак, управляющий директор компании ICSA Labs, говорит, что на протяжении 25 лет его организация проводила тестирования в сфере кибербезопасности для третьих лиц, в то время, как новая программа UL представляет собой переход от традиционной безопасности к безопасности в сфере информационных технологий. «UL имеет богатый опыт работы и репутацию, особенно в области безопасности. Объявленная ими программа – действительно новшество, но лишь для них самих. В нашем же случае – нынешний год работы уже 25-й в сфере сертификации и тестирования программ, имеющих отношение к различным технологиям. Начиналось же все с простого антивируса», - говорит Джапак.
Все беды Интернета Вещей и проблемы с безопасностью промышленной продукции хорошо известны и задокументированы. Имеются целые топки документов, повествующие о дефектах в подключаемых автомобилях, домашних автоматизированных девайсах и системах промышленного уровня. Обеспокоенность относительно защиты потребительских и промышленных приборов стало причиной для принятия мер по повышению уровня их безопасности. Ведь многие из них разработаны без единой мысли об этом. Фирма Verizon подсчитала, что к 2018 году в мире будет 25,6 млрд. IoT девайсов, по сравнению с 9,7 млрд. в 2014. К 2020 году ожидается, что на рынке будут эксплуатироваться до 30 млрд. подключаемых девайсов.
«Поставщики Интернета Вещей не слишком спешат применять меры безопасности, поэтому нуждаются в том, чтобы их подтолкнули к этому», - говорит Джапак.
Он также замечает, что к Интернету Вещей могут относиться любые устройства, начиная от медицинских приборов и заканчивая видеокамерами. «Прибор – это всего лишь прибор, подключенный к системе», - говорит Джапак. «Он может иметь встроенную операционную систему. Современные девайсы не испытывают нужды в интерфейсах. Чего им не хватает, так это безопасности. Если говорить обо всех проблемах с мобильными приложениями, которые мы тестируем, то можно уже составлять свои Кумранские свитки», - отмечает он. Кроме того, по его словам, устройство сенсоров – сердца и души девайсов – больше сконцентрировано на функциональности, чем на безопасности.
Помните про экосистему
Эксперты по киберзащите Интернета Вещей говорят, что единственный способ для программ сертификации повысить безопасность IoT – обеспечить тщательное тестирование всей экосистемы Интернета Вещей. «Подобное тестирование должно охватывать облачную инфраструктуру, используемую устройством, мобильные или сетевые приложения, а также продукцию, поставляемую третьими лицами», - отметил Кесар Керрудо, руководитель отдела безопасности компании IOActive Labs и исследователь в сфере безопасности Интернета Вещей.
«Чем тщательнее осуществляется тестирование и сертификация, тем лучше будет результат», - говорит он. «Если вы тестируете только сам прибор из Интернета Вещей, то он может оказаться вполне безопасным, но при использовании в реальной жизни, может прийти в негодность из-за сложных взаимодействий внутри экосистемы».
Тед Харрингтон, исполнительный партнер компании «Независимые Оценщики Безопасности» (Independent Security Evaluators), утверждает, что у программы сертификации Интернета Вещей имеются свои плюсы и минусы. «С одной стороны, такая программа имеет несомненное положительное влияние на индустрию Интернета Вещей…Но безопасность, к сожалению, до сих пор не является частью многих используемых девайсов». Он убежден, что программа сертификации может помочь поставщикам Интернета Вещей сделать первый шаг в направлении безопасности.
Недостаток программы в том, что сам факт получения продуктом сертификата не гарантирует его безопасность. «В действительности программа сертификации опасна для организаций, которые могут ее расценивать как 100% свидетельство безопасности продукта. Программа сертификации должна быть адаптируемой для широкого круга компаний, имеющих индивидуальные потребности, варианты использования и модели угроз», - говорит Харррингтон.
Поэтому, даже если продукт Интернета Вещей получил соответствующий сертификат, скорее всего у него все еще имеются недоработки в области безопасности. «Таргет была PCI-совместимой системой, и все же пострадала из-за недостатка безопасности. Это наглядный пример того, что совместимость не означает устойчивость системы перед лицом угроз. Вот в чем состоит рискованная сторона программы сертификации».
Еще одна проблема – вероятность злоупотребления программой сертификации в коммерческих целях. «Некоторые сертификаты превращаются лишь в документ, за который компании готовы уплатить определенную сумму с целью произвести впечатление на клиентов. Но в конечном итоге, такой сертификат не имеет никакой ценности с точки зрения безопасности», - говорит Керрудо.
Компания «ICSA Labs» взымает фиксированную плату за годовой контракт на использование своей программы сертификации и тестирования. Размер этой платы может варьировать от «нескольких тысяч» до $100 000. На текущий момент программа может оценивать самые разные виды устройств: от DVR и видео камер до приборов домашней безопасности.
Получение сертификата от компании ICSA Labs означает, что продукт прошел тестирование, а все его уязвимости и слабые с точки зрения безопасности места были зафиксированы. Тестирование проводится на постоянной основе для обнаружения новых недоработок.
New Internet Of Things Security-Certification Program Launched
Появилась добровольная сертификация по Интернету вещей от ICSA Labs. Пару месяцев назад я уже делал публикацию про добровольную сертификацию FIDO по аутентификации. Собственно с ICSA Labs похожая история.
В целом идея правильная - сделать стандарт, программу тестирования и проводить проверки на добровольной основе. Но для России делать похожую систему добровольной сертификации смысла нет. Слишком мало производим и слишком маленький рынок.
