Пятница, 13. Стандарты безопасности (третий эпизод)

Пятница, 13. Стандарты безопасности (третий эпизод)


Евгений Царев: Всем доброго утра! Мы продолжаем цикл наших передач об [умныхk вещах, о том, как их взламывают и, соответственно, о том, что с этим делать. Со мной Дима Ильин, и мы продолжаем раскрывать вопросы, возможно, кому-то более полезные, а кому-то менее. Сегодня мы поговорим о том, что важно делать государству. Государство здесь не сторонний участник.

Дмитрий Ильин: Естественно.

Евгений Царев: Непосредственно государство должно наравне, наверное, с производителем участвовать в решении проблем, связанных с безопасностью. Дима, у меня вопрос такой. Что делают производители и что делает государство?

Дмитрий Ильин: Производители более основательно подходят к этому вопросу, нежели государство, потому что если вдруг что-то случится, к примеру, с водителем автомобиля в процессе его эксплуатации, к кому человек обратится с претензиями? Конечно, к производителю. И в первую очередь производителю надо как-то себя обезопасить. Если раньше речь шла о том, что какие-то, допустим, коврики подползают под педаль и блокируют ее, в этом случае производителю пришлось выплачивать огромную компенсацию, отзывать марки автомобиля. И в связи с тем, что автомобили становятся более продвинутые, проблема безопасности пассажиров это, разумеется, проблема претензий к производителю, которая остается, если не возрастает.

Евгений Царев: Да.

Дмитрий Ильин: Поэтому производители всегда дают какие-то рекомендации пользователям. Вопрос в том, выполняют ли их пользователи или нет.

Евгений Царев: Например, какие рекомендации могут мне дать? Я купил [умныйk холодильник, который показывает температуру и что-то еще. Все-таки с электронной точки зрения, какого рода рекомендации могут быть? По доступу?

Дмитрий Ильин: Самая главная рекомендация, которую сейчас дают все производители это обслуживать технику, если возникают какие-то проблемы, и производить ремонт только у аккредитованных специалистов в сертифицированных центрах, чтобы производитель мог контролировать процесс и чтобы потом не было каких-то посторонних вмешательств.

Евгений Царев: Большая часть оборудования в сети имеет удаленное управление. Там есть стандартные требования к паролю доступа, которые, в общем-то, пользователи не меняют.

Дмитрий Ильин: Да.

Евгений Царев: Стандартные рекомендации поменять логин admin и пароль admin на что-то другое.

Дмитрий Ильин: Пользователи выполняют их далеко не всегда. Естественно, в связи с этим возникает множество проблем. Самое простое даже когда мы сидим у себя в квартире и у нас в доме куча wi-fi сетей, к половине из них логин и пароль так и остается admin. К [умнымk домам относится всё то же самое.

Евгений Царев: Да, вдруг кто-то шторы откроет, когда ты там, в общем-то, в неприглядном виде.

Дмитрий Ильин: Да, есть такая опасность.

Евгений Царев: Что опять же касается государства, здесь этот вопрос находится в зачаточном состоянии. Проблема появляется, но она пока не до такой степени актуальна, как могло бы показаться на первый взгляд.

Дмитрий Ильин: Да.

Евгений Царев: Государство, в целом, начинает заниматься какой-то проблемой, когда она становится острой.

Дмитрий Ильин: Пока гром не грянет, мужик не перекрестится.

Евгений Царев: Да, да. Вот если авиакатастроф происходит много, надо что-то с этим делать. Точно также и здесь. В определенный момент, когда возникнут сбои и вообще проблем с безопасностью на самом деле будет много, тогда и государство к этому делу подключится. Что сейчас реально существует в области регулирования? Производители различных систем

Дмитрий Ильин: Есть небольшая разобщенность в плане производителей.

Евгений Царев: Да, у них есть разобщенность, но в области, например, безопасности они же работают в пределах своих групп компаний. Вот, к примеру, Tesla Motors. Они спонсируются компаниями Mercedes и Toyota. Это некая единая, общая корпорация.

Дмитрий Ильин: Та же самая группа Volkswagen.

Евгений Царев: Да, у них очень много брендов. Для себя они создают свои собственные, внутренние системы сертификации, правила разработки, в том числе и программного обеспечения, проверки, и, соответственно, в рамках этих групп они этими вопросами и занимаются. Государство пока в данном вопросе стоит особняком.

Дмитрий Ильин: Да, оно пока не особо участвует.

Евгений Царев: Если мы берем такие объекты, как электростанции. Над ними, действительно, существует государственный надзор и контроль, причем довольно мощный. Не всегда он оказывается эффективным, но, тем не менее, он присутствует, потому что это все-таки первоочередные задачи. Вообще, задача государства обеспечить безопасность граждан, поэтому оно этими вопросами и занимается. А пока мы говорим про какие-то микроволновые печи, этот вопрос государству не актуален и здесь сейчас работают какие-то мошеннические схемы.

Дмитрий Ильин: Да.

Евгений Царев: Чернышевский воскрес и спрашивает нас, что нам делать со всем этим?

Дмитрий Ильин: Естественно, нам нужно разрабатывать какие-то собственные стандарты, вносить изменение в законодательство.

Евгений Царев: Первое, что приходит на ум, это правила программирования.

Дмитрий Ильин: Да.

Евгений Царев: Есть PA-DSS для платежных систем, их стандартизация. Может, можно было бы сделать здесь какой-то ее аналог? Для промышленной сферы?

Дмитрий Ильин: Естественно, такие стандарты нужны. К примеру, если мы говорим об оптимизации кода. Недавно был такой случай. У одной из известных автомобильных марок из-за неоптимизированного, некорректно написанного кода компьютер, который управлял машиной

Евгений Царев: перегружался?

Дмитрий Ильин: Да, компьютер перегружался, и в итоге он просто перегрелся и отказал в дальнейшей работе. Водитель потерял контроль над машиной и попал в аварию. Было доказано, что виноват производитель, и с производителя были произведены взыскания.

Евгений Царев: Да, разъяснительные беседы. Приходим к тому, что государство в данном случае пока находится в стороне, а производители пока работают в тех рамках, в которых они работают сейчас.

Дмитрий Ильин: Производители пока не участвуют и ни с кем не хотят делиться.

Евгений Царев: Наверное, все-таки нужно экспертному сообществу внутри себя создавать какие-то группы, коллективы, привлекать специалистов, которые будут заниматься этими вопросами.

Дмитрий Ильин: Да, которые, по сути, будут заниматься аудитом.

Евгений Царев: Может быть, заниматься исследованием, выдачей заключения на какое-то оборудование, на инсталляцию, но об этом мы уже поговорим в следующий раз. Этот выпуск мы заканчиваем, всем большое спасибо! В следующий раз мы продолжим разговор непосредственно об исследованиях в области защиты вещей.

Другие записи

  • Пятница, 13. Транспортные катастрофы (второй эпизод)
  • Пятница, 13. Взлом вещей (автомобиль)
  • Пилот программы “Пятница, 13″. Что делать если с вашего счета украли деньги?
  • Пятничное видео
  • Телепрограмма “Область доверия” про цензуру в Интернете
  • INFOBEZ-EXPO 2012
Персональные данные Автоматизированная система АСУ ТП безопасность АСУ ТП видео Пятница 13 Стандарты угрозы безопасности
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации