Регулирование отрасли государством считается чуть ли не угрозой, по мнению многих представителей ИТ-индустрии. Но недавние DDoS-атаки с крупных IoT-ботнетов обеспокоили ИБ-специалистов настолько, что они готовы признать: вмешательство законодателей может быть неизбежно.
В своем докладе подкомитету комитета энергетики и торговли Конгресса США в среду Брюс Шнайер (Bruce Schneier) заявил, что экономическое давление рынка не может в полной мере решить проблемы, связанные с уязвимостями в IoT-среде. Также он предположил, что, возможно, настал момент, когда отрасли нужно поступиться инновациями ради обеспечения надлежащего уровня безопасности при производстве и распространении подключаемых к Интернету устройств.
«Мне самому это не по душе, — сказал Шнайер. — Но мы живем в мире опасных вещей, поэтому, возможно, нам придется притормозить прогресс. Нельзя просто сконструировать самолет и сразу полететь на нем. Нам стоит признать, что эра, когда Интернет был местом для игр и развлечений, закончилась; Интернет превратился в опасное место. Регулирование может притормозить внедрение инноваций, но мы должны поступить так, если инновации связаны с рисками».
Шнайер и другие докладчики — профессор Университета Мичигана Кевин Фу (Kevin Fu) и директор Level 3 Communications по информационной безопасности Дейл Дрю (Dale Drew) — рассказали членам комитета, что проблема незащищенности IoT должна быть решена на уровне инженерной разработки компонентов, где должны быть встроены (а не внедрены поверх аппаратной части) технологии безопасности.
В качестве говорящего примера докладчики использовали недавнюю DDoS-атаку на DNS-провайдера Dyn: эта атака была не только масштабной и разрушительной, но и простой в исполнении. Фу предложил следовать опыту таких организаций, как NIST, которые превращают принципы безопасности в отраслевые стандарты, а не просто предлагают свои рекомендации. Дрю заявил, что нужно мотивировать производителей учитывать безопасность с самого начала, чтобы не допустить случаев, когда DVR-приставки и камеры поставляются на рынок, будучи защищенными откровенно слабыми или дефолтными паролями. Именно такой тип устройств использовался в ботнете Mirai, атаковавшем Dyn, французскую хостинговую компанию OVH и сайт ИБ-аналитика Брайана Кребса (Brian Krebs).
Шнайер предположил, что в этом может помочь создание нового правительственного агентства, которое будет отвечать за разработку и внедрение соответствующих регулятивных норм. Он также призвал законодателей и людей, ответственных за принятие решений, изменить свое представление об IoT-устройствах и думать о них как о компьютерах: компьютерах на колесах — в случае умных автомобилей, компьютерах для охлаждения продуктов — в случае умных холодильников и так далее.
«Нам нужно новое агентство, — ответил Шнайер на вопрос о том, как бы он решил проблему регулирования, если бы ему дали карт-бланш. — Мы не можем иметь различные правила по отношению к компьютерам, если они выглядят по-разному, то есть имеют колеса, пропеллеры или функционируют в человеческом теле. Это не сработает. Нам нужны универсальные правила».
На довод о том, что идея о создании нового агентства может быть не принята правительством, Шнайер ответил, что министерство внутренней безопасности было создано через 44 дня после атак 11 сентября. Он призвал законодателей не ждать катастрофы, а действовать сейчас: атака на Dyn была знаком, что время для этого настало.
«Выбор стоит между умным и глупым вмешательством правительства, — сказал Шнайер. — Когда случается что-то ужасное и население просит принять меры, нужно сделать нечто большее, чем просто сказать: «Давайте быстро разберемся с этим». Я сам не фанат правительственного регулирования, но мы живем в опасном мире».
Проблемы на пути обеспечения должного уровня безопасности IoT большей частью обусловлены экономическими причинами. Большинство IoT-устройств делают за рубежом без надлежащего надзора, чтобы снизить стоимость производства. Проблема не только в изменении парадигмы безопасности.
«Регулирование нужно, потому что рынок сам не способен справиться с ситуацией», — сказал Шнайер. По его мнению, пример США в сфере регулирования позитивно повлияет на безопасность IoT в глобальном масштабе. «Впервые Интернет начинает влиять на физический аспект. До этого считалось нормальным давать программистам Google и Facebook «свободу творчества» в написании кода. Но теперь, когда к Интернету подключены различные типы устройств, нам придется отказаться от такой практики. Мне это не нравится. Но я думаю, что у нас в текущих условиях нет другого выбора», — отметил эксперт.
Источник: Threatpost | Новости ИБ
