Организация Cloud Security Alliance (CSA) представила доскональный 75-страничный доклад с подробной дорожной картой для разработки безопасных IoT-продуктов.

Хотя устройства Интернета вещей часто представляют собой малогабаритные встроенные системы, IoT тесно связан с облаками, поскольку IoT-устройства используют облачные сервисы. «Независимо от того, идет речь о контролируемых голосом помощниках или о говорящих куклах Барби, всё это взаимодействует с сервисами в облаке, — констатирует Брайан Рассел, председатель Рабочей группы IoT в CSA и главный инженер подразделения Cyber Security Solutions компании Leidos. — Хотя CSA располагает хорошо проработанными инструкциями по облачной безопасности, включающими матрицу Cloud Controls Matrix (CCM) и другие руководства, мы поняли, что, если сами IoT-продукты не будут безопасными, угрозы компрометации систем будут сохраняться».

По словам Рассела, IoT можно рассматривать как «систему систем», в которой для функционирования сервиса работает множество компонентов. В таком сценарии безопасность системы целиком зависит от безопасности ее слабейшего звена.

«К сожалению, производителям IoT-продуктов часто сложно заботиться о безопасности своих продуктов, поскольку раньше им не приходилось заниматься инженерными разработками в данной области», — отметил Рассел.

Отсутствие опыта вендоров в сфере безопасности усугубляется дефицитом квалифицированных инженеров по безопасности, которые могли бы помочь IoT-вендорам. Рассел добавил, что разработчикам требуется набор наилучших практик, на которые можно было бы ориентироваться в жизненном цикле разработки их продуктов, и новые инструкции CSA как раз и призваны заполнить этот пробел.

Как часть этого отчета CSA обрисовала методологию безопасных IoT-разработок, которая в определенной мере покажется знакомой инженерам, занимавшимся в последние годы безопасностью облачных и мобильных систем.

«Безопасность IoT имеет немало общего с аналогичными проблемами облаков и мобильных устройств, и к ней применимы уже усвоенные уроки», — сказал Джон Йео, старший аналитик-исследователь CSA.

Но, несмотря на наличие многих сходных черт с существующими сферами использования средств безопасности, IoT характерны свои специфические элементы, например, необходимость понимания роли аппаратной части устройства в его безопасности или в возникновении уязвимостей, пояснил Рассел. IoT также несколько отличается от ряда других технологических сфер тем, что он часто ориентирован на автономное взаимодействие продуктов разного типа друг с другом.

«Это значит, что разработчики должны быть осведомлены о продуктах и сервисах других типов, с которыми так или иначе будут взаимодействовать их устройства, и им надо учитывать потенциальное расширение вопросов безопасности, — сказал Рассел. — Например, производитель автомобилей может не учитывать, что по заказу страховой компании создается миниустройство, которое будет подключаться к порту бортовой диагностики OBD-II и передавать данные по сотовым сетям или спутниковой связи Satcom».

Базовый элемент подхода CSA к безопасности IoT состоит в оценке факторов безопасности конкретного IoT-устройства для полного понимания потенциальных рисков. По словам Рассела, оценка факторов безопасности требует ответа на ряд критических вопросов, помогающих вскрыть истинные риски.

Ниже приводятся четыре ключевых вопроса для такой оценки факторов безопасности IoT.

  • Могут ли при использовании продукта по его назначению возникнуть вредные последствия, если продукт начнет работать неправильно или полностью прекратит работу?
  • Имеются ли какие-то критичные к безопасности сервисы или другие продукты, зависящие от функционирования данного продукта?
  • Если устройство будет скомпрометировано, не вызовет ли поступление с него испорченных данных какие-то последующие физические эффекты?
  • Что может произойти при работе критичного к безопасности устройства, если злоумышленник заблокирует встроенные в него защитные функции?

Хотя IoT-вендорам предстоит серьезная работа по обеспечению безопасности устройств, своя роль в этом деле есть и у пользователей. По словам Йео, в IoT-документе CSA четко говорится о безопасности паролей. Задавая пароли по умолчанию, производитель помогает пользователям, но повторное использование паролей — это то, что должен контролировать сам пользователь.

«Помимо парольной защиты пользователям также нужно держать под контролем уровень предоставляемых устройству привилегий доступа и взаимодействующие с устройством приложения, — сказал Йео. — Устройства и интерфейсы не должны иметь привилегии и возможности, выходящие за рамки их предназначения или определенных для них ролей».