15 февраля 2016

Наконец готовы адекватные требования к безопасности IoT

IoT, или Интернет вещей, крепко завладел умами производителей устройств, разработчиков сервисов и простых пользователей. Однако, как и всякая новая концепция, IoT имеет множество детских болезней. Наряду с нагрузкой, которую несут для сетей многочисленные IoT-устройства, основной проблемой IoT традиционно считается откровенно слабая безопасность. Но наконец отраслевая ассоциация GSMA выпустила пакет директив, чтобы излечить этот хронический недуг.

Наконец готовы адекватные требования к безопасности IoT
Наконец готовы адекватные требования к безопасности IoT

Значение документа трудно переоценить; список компаний, подписавшихся под рекомендациями, довольно внушительный: он включает, например, таких крупных телекоммуникационных операторов, как AT&T, China Telecom, Etisalat, KDDI, NTT DOCOMO, Orange, Telefónica, Telenor и Verizon. Список директив был разработан в ходе консультаций с исследователями, аналитиками и экспертами отрасли.

Как считают в GSMA, многие отрасли просто считают, что их видение и технологии информационной безопасности уникальны. Такое отношение негативно влияет на безопасность всей инфраструктуры. «Почти все IoT-устройства используют похожие платформы и компоненты. В то же время угрозы, которым подвергаются разнообразные устройства, тоже имеют много общего и, вполне резонно, с ними можно бороться стандартными способами», — говорится в рекомендациях.

Авторы разработали три различных пакета директив для всех трех сторон-участников IoT-индустрии: телекоммуникационных провайдеров, операторов сервисов и производителей устройств.

Как надеются авторы, провайдеры услуг смогут воспользоваться рекомендациями, чтобы определить, какие технологии и методики защиты следует использовать для борьбы с угрозами и создания защищенных сервисов, где данные пользователей будут в безопасности.Производители устройств получат своеобразный список проблем безопасности, которые до этого момента зачастую предпочитали игнорировать, но которые требуют безотлагательного решения: слабое шифрование, отсутствие поддержки PFS (perfect forward secrecy), использование цифровой подписи кода и тому подобные. Сетевых операторов GSMA призывает обеспечить безопасность и защиту приватности как IoT-устройств, так и конечных пользователей. Помимо общего набора рекомендаций по обеспечению безопасности, операторы получили рычаг давления на производителей оборудования: устройства вендоров и разработчиков, не старающихся обеспечивать должный уровень безопасности и не придерживающихся директив, не будут подключены к сети оператора.

Источник