Появилась добровольная сертификация по Интернету вещей от FIDO по аутентификации. Собственно с ICSA Labs похожая история.
В целом идея правильная —P сделать стандарт, программу тестирования и проводить проверки на добровольной основе. Но для России делать похожую систему добровольной сертификации смысла нет. Слишком мало производим и слишком маленький рынок.
Компания ICSA Labs предлагает программу по проверке безопасности, разработанную для продукции, имеющей отношение к Интернету Вещей. Она была выпущена в свет сразу после объявления о создании программы сертификации мер безопасности ‘CyberUL’.
Подсоединяемые к сети девайсы, используемые в промышленности и быту так называемый Интернет Вещей (IoT) обрели уже вторую программу для проверки и сертификации безопасности: сегодня компания ICSA Labs представила на всеобщее обозрение свою собственную программу для поставщиков и клиентов Интернета Вещей.
Выпуск этой программы последовал сразу за долгожданной Программой Гарантии Кибербезопасности (UL CAP), запущенной в апреле компанией Underwriters Laboratories и использующей новый набор стандартов для Интернета Вещей и инфраструктуры его поставщиков с целью оценки уязвимостей и недоработок. В свою очередь, компания ICSA Labs, являющаяся независимым подразделением фирмы Verizon, заявила, что ее новая разработка протестирует шесть компонентов девайсов Интернета Вещей: предупреждение/регистрация, шифрование, аутентификация, коммуникации, физическая безопасность, безопасность платформы.
На первом этапе программа осуществляет проверку на наличие известных уязвимостей, а также проблем с аутентификацией, доступом, шифрованием, обновлением ПО. В третьем квартале этого года планируется выпустить первые сертификаты в сфере безопасности. Программа тестирует подключенные автомобили, SIM карты, встроенные SIM карты, мобильные девайсы и микросхемы, умные домашние приборы, встраиваемые мобильные элементы, беспроводные девайсы.
Джорд Джапак, управляющий директор компании ICSA Labs, говорит, что на протяжении 25 лет его организация проводила тестирования в сфере кибербезопасности для третьих лиц, в то время, как новая программа UL представляет собой переход от традиционной безопасности к безопасности в сфере информационных технологий. [UL имеет богатый опыт работы и репутацию, особенно в области безопасности. Объявленная ими программа действительно новшество, но лишь для них самих. В нашем же случае нынешний год работы уже 25-й в сфере сертификации и тестирования программ, имеющих отношение к различным технологиям. Начиналось же все с простого антивирусаk, — говорит Джапак.
Все беды Интернета Вещей и проблемы с безопасностью промышленной продукции хорошо известны и задокументированы. Имеются целые топки документов, повествующие о дефектах в подключаемых автомобилях, домашних автоматизированных девайсах и системах промышленного уровня. Обеспокоенность относительно защиты потребительских и промышленных приборов стало причиной для принятия мер по повышению уровня их безопасности. Ведь многие из них разработаны без единой мысли об этом. Фирма Verizon подсчитала, что к 2018 году в мире будет 25,6 млрд. IoT девайсов, по сравнению с 9,7 млрд. в 2014. К 2020 году ожидается, что на рынке будут эксплуатироваться до 30 млрд. подключаемых девайсов.[Поставщики Интернета Вещей не слишком спешат применять меры безопасности, поэтому нуждаются в том, чтобы их подтолкнули к этомуk, — говорит Джапак.
Он также замечает, что к Интернету Вещей могут относиться любые устройства, начиная от медицинских приборов и заканчивая видеокамерами. [Прибор это всего лишь прибор, подключенный к системеk, — говорит Джапак. [Он может иметь встроенную операционную систему. Современные девайсы не испытывают нужды в интерфейсах. Чего им не хватает, так это безопасности. Если говорить обо всех проблемах с мобильными приложениями, которые мы тестируем, то можно уже составлять свои Кумранские свиткиk, — отмечает он. Кроме того, по его словам, устройство сенсоров сердца и души девайсов больше сконцентрировано на функциональности, чем на безопасности.
Помните про экосистему
Эксперты по киберзащите Интернета Вещей говорят, что единственный способ для программ сертификации повысить безопасность IoT обеспечить тщательное тестирование всей экосистемы Интернета Вещей. [Подобное тестирование должно охватывать облачную инфраструктуру, используемую устройством, мобильные или сетевые приложения, а также продукцию, поставляемую третьими лицамиk, — отметил Кесар Керрудо, руководитель отдела безопасности компании IOActive Labs и исследователь в сфере безопасности Интернета Вещей.[Чем тщательнее осуществляется тестирование и сертификация, тем лучше будет результатk, — говорит он. [Если вы тестируете только сам прибор из Интернета Вещей, то он может оказаться вполне безопасным, но при использовании в реальной жизни, может прийти в негодность из-за сложных взаимодействий внутри экосистемыk.
Тед Харрингтон, исполнительный партнер компании [Независимые Оценщики Безопасностиk (Independent Security Evaluators), утверждает, что у программы сертификации Интернета Вещей имеются свои плюсы и минусы. [С одной стороны, такая программа имеет несомненное положительное влияние на индустрию Интернета ВещейНо безопасность, к сожалению, до сих пор не является частью многих используемых девайсовk. Он убежден, что программа сертификации может помочь поставщикам Интернета Вещей сделать первый шаг в направлении безопасности.
Недостаток программы в том, что сам факт получения продуктом сертификата не гарантирует его безопасность. [В действительности программа сертификации опасна для организаций, которые могут ее расценивать как 100% свидетельство безопасности продукта. Программа сертификации должна быть адаптируемой для широкого круга компаний, имеющих индивидуальные потребности, варианты использования и модели угрозk, — говорит Харррингтон.
Поэтому, даже если продукт Интернета Вещей получил соответствующий сертификат, скорее всего у него все еще имеются недоработки в области безопасности. [Таргет была PCI-совместимой системой, и все же пострадала из-за недостатка безопасности. Это наглядный пример того, что совместимость не означает устойчивость системы перед лицом угроз. Вот в чем состоит рискованная сторона программы сертификацииk.
Еще одна проблема вероятность злоупотребления программой сертификации в коммерческих целях. [Некоторые сертификаты превращаются лишь в документ, за который компании готовы уплатить определенную сумму с целью произвести впечатление на клиентов. Но в конечном итоге, такой сертификат не имеет никакой ценности с точки зрения безопасностиk, — говорит Керрудо.
Компания [ICSA Labsk взымает фиксированную плату за годовой контракт на использование своей программы сертификации и тестирования. Размер этой платы может варьировать от [нескольких тысячk до $100 000. На текущий момент программа может оценивать самые разные виды устройств: от DVR и видео камер до приборов домашней безопасности.
Получение сертификата от компании ICSA Labs означает, что продукт прошел тестирование, а все его уязвимости и слабые с точки зрения безопасности места были зафиксированы. Тестирование проводится на постоянной основе для обнаружения новых недоработок.
Отчет по Hack the Lab 2012 в ФинляндииNSS Labs Vulnerability Threat Report по безопасности SCADA Взлом GSM Коротко о ITSF Казань 2013 Стипендии для студентов, ведущих работы в области ИБ Поправки в 382-П или все проводят оценку соответствия до конца года
