Глобальный взрыв IoT (Интернет вещей) уже идет полным ходом, одновременно с таким же мощным увеличением вредоносных хакерских атак. Обеспечение информационной безопасности в сети Интернет становится приоритетной задачей разработчиков IoT. В американском интернет-ресурсе, который посвящен полностью IoT, сегодня подняли такой вопрос: не пора ли федеральному правительству ввести в действие стандарты безопасности Интернета вещей? Как вовлечь во все это производителя? Аналитик по кибербезопасности и автор поднятого вопроса Дэн Фрис нашел, что аргументы есть по обе стороны темы.
Похоже, что в стремлении разрабатывать более быстрые и интеллектуальные устройства IoT остался один важный аспект: безопасность.
Хотя большинство разработчиков считают безопасность одним из наиболее важных факторов при разработке устройств IoT, некоторые аспекты IoT отстают. Одним из них является инфраструктура, необходимая для обеспечения безопасности этих устройств. Другой - уровень знаний широкой общественности о том, насколько безопасны (или небезопасны) искусственный интеллект интернет вещей (сразу вспоминаются Скайнет из Терминатора и Матрица). Наконец, до настоящего времени не было никакого правительственного руководства относительно того, что составляет соответствующий уровень безопасности.
Это может измениться. Но должно ли?
Безопасность и Интернет вещей
Есть несколько причин, по которым безопасность IoT на данный момент вызывает особую обеспокоенность у ФРС США и соответствующих ведомств других стран.
Одним из них является просто то, что производители устройств IoT отдали приоритет новым функциональным возможностям при выводе новых продуктов на рынок, оставляя при этом поразительный набор уязвимостей в безопасности. Другой - растущая осведомленность о кибербезопасности как среди широкой общественности, так и среди законодателей, которые все больше обеспокоены утечкой своих данных в общественную сферу.
Более конкретно, огромное количество данных, которые собирают устройства IoT, а также глубоко личный характер многих из этих данных, должно вызывать у потребителей неудобство при их использовании. Например, интернет вещей «умный дом» Nest, и системы домашней безопасности записывают данные, которые потенциально важны для других аспектов киберфизической безопасности пользователя.
Учитывая это, удивительно, что безопасность IoT не была повышена на федеральном уровне до сих пор.
В России набирают популярность умные голосовые колонки, за которыми тоже нужно «следить» простому потребителю, иначе они будут «следить» за вами. Хотя ФЗ 187 «О безопасности критической информационной инфраструктуры Российской Федерации» вам в помощь.
Читайте еще по теме:
Квантовый прорыв. Почему IT компании боятся квантовых компьютеров?
Предложения ФРС
Вернемся к США. Недавние предложения ФРС последовали за введением нескольких аналогичных законов как в Калифорнии, так и в Великобритании. Правительство Великобритании уже продвигается с новым законодательством о безопасности IoT, которое амбициозно пытается охватить все устройства, которые используют потребители, от смартфонов до домашних концентраторов и систем отопления.
В США Калифорния стала самым отсталым штатом, когда речь заходит о безопасности Интернета вещей. Калифорнийский закон о безопасности IoT SB-327 запрещает использование паролей по умолчанию на устройствах IoT и запрещает производителю включать параметр «сброс к заводским настройкам». Каждый производитель устройства, подключенного к Интернету, должен также установить «разумные» функции безопасности, которые «защищают устройство и любую содержащуюся в нем информацию от несанкционированного доступа, уничтожения, использования, модификации или раскрытия».
Этот законопроект подвергся критике как недостаточно далеко идущий; он вступит в силу только после 2020 года. Тем не менее, именно на его основе законодатели США обсуждали вопрос о том, как сделать устройства IoT более безопасными для потребителей.
Идея основана на предлагаемом в законодательстве Великобритании трем принципам безопасности:
· Пароли, которые используются устройствами IoT, должны быть уникальными для каждого устройства, и пользователи не смогут сбросить их на пароль «по умолчанию».
· Производители IoT должны предоставлять пользователям общедоступную точку контакта и публично раскрывать им любые обнаруженные уязвимости.
· Производители устройств IoT также должны гарантировать, что в течении определённого времени будут обновлять настройки безопасности каждого устройства.
Также было предложено, чтобы частный сектор совместно разработал сертификационную печать безопасности IoT, аналогичную Energy Star для энергоэффективных продуктов.
Следует ли привлекать ФРС?
Некоторая минимальная схема, подобная изложенной, вероятно, получит общественную поддержку среди той части населения, которая уделяет внимание вопросам кибербезопасности, как аналогичные предложения в Великобритании.
Но во-первых, между продвинутыми и обычными пользователями сохраняется огромный разрыв в знаниях, когда речь идет об устройствах IoT или о чем-либо еще. Потребители, которые нашли время для создания своих собственных сетей IoT, и те, кто читает эту статью, вероятно, уже используют VPN для шифрования своих данных. С другой стороны, менее продвинутые пользователи часто дают согласие на обнародование своих данных, даже не осознавая, что они делают.
Другая проблема заключается в том, что любое законодательство, которое принимает ФРС, вероятно, устареет к моменту его вступления в силу. Правила, принятые в Калифорнии, являются хорошим примером: некоторые компании уже изучают возможность использования ИИ для защиты систем IoT, а к 2020 году (когда эти правила вступят в силу), у законодателей появится еще один набор технологий, о которых нужно беспокоиться.
Короче говоря, дебаты о безопасности IoT являются примером гораздо более широкой проблемы: социальные и правовые системы просто недостаточно быстры, чтобы идти в ногу с быстрым распространением и развитием технологий, подобных IoT.
Напоследок
Все это говорит о том, что мы не должны уклоняться от предложений ФРС. Если они вступят в силу в том виде, в каком в настоящее время предлагаются, то они, по сути, присудят «звезду безопасности» компаниям, которые уже следуют ответственным правилам безопасности IoT.
В статье-источнике подчеркивается, что Федеральная резервная система ни в коем случае не должна быть главным хранителем кибербезопасности, будь то на устройствах IoT или любых других. Механизм управления слишком медленный, а знания законодателей слишком малы. Вместо этого следует побуждать пользователей серьезно относиться к собственной безопасности и защищать свои устройства так же, как они защищают свои дома.