13 Марта, 2019

Опубликованы европейские технические спецификации по кибербезопасности потребительских устройств интернета вещей

Наталья Храмцовская
В феврале 2019 года Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) опубликовал технические спецификации ETSI TS 103 645 V1.1.1 (2019-02) «Кибербезопасность – Кибербезопасность потребительских устройств интернета вещей» (CYBER; Cyber Security for Consumer Internet of Things) объёмом 16 страниц, см. https://www.etsi.org/deliver/etsi_ts/103600_103699/103645/01.01.01_60/ts_103645v010101p.pdf

Стандарт разработан техническим комитетом ETSI по кибербезопасности (TC CYBER).

Во вводной части документа отмечается следующее:
«Поскольку все больше домашних устройств подключается к Интернету, кибербезопасность Интернета вещей (Internet of Things, IoT) становится все более серьезной проблемой. Люди доверяют свои персональные данные всё большему количеству онлайн-устройств и сервисов. Продукты и устройства, которые традиционно работали автономно, теперь подключаются к сети и должны проектироваться таким образом, чтобы противостоять киберугрозам.

Настоящий документ сводит воедино широко применяемую передовую практику в области безопасности подключенных к Интернету пользовательских устройств, представляя её в виде набора высокоуровневых, ориентированных на результат положений. Целью настоящего документа является оказание поддержки всем сторонам, участвующим в разработке и изготовлении потребительских устройств интернета вещей, посредством рекомендаций по обеспечению безопасности их продуктов.

Положения являются ориентированными на результат, а не предписывающими, обеспечивая тем самым организациям необходимую гибкость для инноваций и внедрения решений по безопасности, подходящих для их продуктов.

Настоящий документ не предназначен для решения всех проблем безопасности, связанных с потребительскими устройствами Интернета вещей. Скорее, основное внимание в нём уделяется тем техническим мерам контроля и управления и политикам организаций, которые имеют наибольшее значение для реагирования на самые значительные и распространенные недостатки в плане безопасности.

Поскольку многие устройства и службы Интернета вещей обрабатывают и хранят персональные данные, настоящий документ может помочь в обеспечении их соответствия «Общим правилам защиты персональных данных» (General Data Protection Regulation, GDPR – закон Евросоюза прямого действия о защите персональных данных – Н.Х.). Настоящий документ может также помочь организациям внедрить в будущем единую систему сертификации по кибербезопасности Евросоюза, предусмотренную европейским Законом о кибербезопасности (Cybersecurity Act, см. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:477:FIN ) и американским законопроектом о совершенствовании кибербезопасности Интернета вещей (см. https://www.congress.gov/bill/115th-congress/senate-bill/1691/text?format=txt ).

…В настоящем документе установлены высокоуровневые положения по обеспечению безопасности пользовательских устройств, подключенных к сетевой инфраструктуре, такой, как Интернет или домашняя сеть, и связанным с ними сервисам. Примерами таких устройств служат (список не является исчерпывающим):
  • подключенные к сети детские игрушки и «радионяни» (baby monitors);
  • подключенные к сети продукты, имеющие отношение к безопасности, такие, как детекторы дыма и дверные замки;
  • умные камеры, телевизоры и аудиоколонки;
  • носимые устройства мониторинга состояния здоровья (health trackers);
  • подключенные к сети системы домашней автоматизации и сигнализации;
  • подключенные к сети бытовые устройства (например, стиральные машины, холодильники); а также
  • умные домашние помощники.
Настоящий документ содержит базовые рекомендации для организаций, занимающихся разработкой и производством потребительских устройств интернета вещей, относительно того, как реализовать эти положения…

Продукты интернета веще, предназначенные главным образом для использования в производстве, в других областях промышленности и здравоохранении, не входят в область применения настоящего документа.»
Документ действительно краткий и высокоуровневый. Примером тому (на мой взгляд, интересным для специалистов по управлению документами и информацией) может служить раздел, посвящённый защите персональных данных:
4.8. Обеспечьте защиту персональных данных

Положение 4.8-1. Производители устройств и поставщики услуг обязаны предоставлять потребителям четкую и прозрачную информацию о том, как, кем и для каких целей используются их персональные данные, в отношения каждого устройства и услуги. Это также относится к третьим сторонам, которые могут быть вовлечены, включая рекламодателей.

Положение 4.8-2. Если личные данные обрабатываются на основе согласия потребителей, это согласие должно быть получено надлежащим образом.

Положение 4.8-3. Потребителям, давшим согласие на обработку своих персональных данных, должна быть предоставлена возможность отозвать согласие в любое время.

Ожидается, что соответствующий субъект, такой, как поставщик услуг или производитель устройства, обеспечит обработку персональных данных в соответствии с применимым законодательством о защите персональных данных (таким, например, как европейский закон GDPR), а также в соответствии с применимым законодательством и нормативными требованиями по вопросам безопасности.

Получение согласия «надлежащим образом» (in a valid way) обычно предусматривает предоставление потребителям свободного, очевидного и явного выбора (причём по умолчанию считается, что такого согласия нет – вариант opt-in) в отношении использования их персональных данных для определенной цели.

Потребители ожидают, что им будут предоставлены средства для защиты неприкосновенности их частной жизни, посредством надлежащей настройки функциональных возможностей устройств и услуг Интернета вещей.»
Содержание документа следующее:
Предисловие
Использование модальных глаголов
Введение
1. Область применения
2. Ссылки
3. Определения терминов, обозначений и сокращений
4. Положения по кибербезопасности потребительских устройств и услуг интернета вещей
4.1. Не используйте универсальные пароли по умолчанию
4.2. Внедрите средства для управления сообщениями о наличии уязвимостей
4.3. Постоянно обновляйте программное обеспечение
4.4. Храните идентификационные данные и чувствительные с точки зрения безопасности данные защищённым образом
4.5. Ведите информационный обмен защищенным образом
4.6. Минимизируйте количество потенциальных объектов атак
4.7. Обеспечьте целостность программного обеспечения
4.8. Обеспечьте защиту персональных данных
4.9. Обеспечьте устойчивость систем в случае отключения питания
4.10. Анализируйте данные телеметрии систем
4.11. Предоставьте пользователям удобные возможности для удаления персональных данных
4.12. Сделайте простыми инсталляцию и техническое обслуживание устройств
4.13. Проверяйте данные на входе
Приложение A (справочное): Форма, отражающая реализацию положений настоящего документа  
Отмечу, что очень неплохо сформулированы положения п.4.11 о предоставления пользователям удобных, понятных и прозрачно функционирующих средств и механизмов удаления персональных данных.

Дополнительная информация: см. также статью «Опубликован стандарт по обеспечению безопасности потребительских IoT-устройств», опубликованную 19 февраля 2019 года на сайте SecurityLab.ru по адресу https://www.securitylab.ru/news/498015.php

Источник: сайт ETSI
https://www.etsi.org/deliver/etsi_ts/103600_103699/103645/01.01.01_60/ts_103645v010101p.pdf