По мере роста числа подключенных к Интернету устройств IoT повышается вероятность нарушения безопасности. Поэтому необходимо обобщить передовой опыт защиты.
Фонд IoT Security Foundation является «независимой от производителей международной инициативой, стремящейся стать экспертным ресурсом для обмена знаниями, передовым опытом и рекомендациями». Эти ресурсы включают справочники передового опыта, один из которых называется «Основы обеспечения безопасности IoT». Его первая версия охватывает потребительские продукты и рынки, но последующие будут охватывать некоторые другие вопросы, такие как медицинская, автомобильная и важнейшая инфраструктура.
«IoT представляет новый этап в эволюции Интернета. Благодаря снижающимся затратам на технологии и низким входным барьерам на рынок хлынули новые продукты», — заявил управляющий директор IoT Security Foundation Джон Мур. Интернет вещей расширяется, охватывая все виды новых носимых устройств, а также подключенные приборы и интеллектуальные игрушки.
Категория игрушек уже заставила задуматься о конфиденциальности данных. Но компании всех типов должны думать о проблемах конфиденциальности, проектируя все, что подключается к Интернету. То, что сначала восхвалялось как «Интернет удовольствий» (internet of treats), поясняет Мур, легко может превратиться в «Интернет угроз» (internet of threats), «если эти новые продукты не будут обладать достаточными функциями защиты».
Вопрос в том, что такое достаточная безопасность? Это тот вопрос, на который Основы стремятся дать ответ с помощью контрольного списка для пользователей. В нем перечислены некоторые категории продуктов и для каждого определяется рекомендуемый класс безопасности в зависимости от потенциального ущерба, который может нанести данный продукт.
Классы безопасности обозначаются цифрами от нуля для хищений данных, которые имеют «едва заметный эффект», до четырех для хищений конфиденциальных данных, которые «потенциально могут затронуть важнейшую инфраструктуру или нанести вред людям».
Уровни целостности, доступности и конфиденциальности
Основы определяют классы безопасности наряду с соответствующими уровнями необходимой целостности, доступности и конфиденциальности. Например, класс 0 требует лишь базовых уровней, а класс 4 — высоких.
В результате получаются сочетания различных уровней. Например, средних уровней целостности и доступности с базовым уровнем конфиденциальности для класса 1. Или у вас может быть средний уровень целостности в сочетании с высокими уровнями доступности и конфиденциальности для класса 3.
Основы проводят также различие между «обязательным» (требование считается «жизненно важным для защиты категории продуктов» применительно ко всему, что относится к безопасности класса 2 и выше) и просто «рекомендуемым» (позволяет отклоняться от требований, если «продукт дает для этого веские причины»). Однако это не должно восприниматься как карт-бланш для действий по собственному усмотрению.
В Основах оговаривается, что выбор в рамках рекомендуемой категории должен быть документирован и обоснован. Соблюдение изложенных в документе руководящих принципов дает компаниям право загружать и отображать значки Фонда в качестве свидетельств самостоятельно проведенной сертификации, которые им, вероятно, придется обновлять после выхода новых версий Основ.
Памела Гупта, президент фирмы Outsecure и председатель рабочей группы по самостоятельной сертификации, пояснила, что «IoT понимается очень широко, и его безопасность определяется не только контекстом, но и ежедневно развивается. Учитывая безотлагательное требование и будущие цели схемы самостоятельной сертификации, мы пришли к выводу, что нам необходимо заложить основы на базе изучения рисков, которые впоследствии можно будет развивать и обновлять с учетом новых рисков и требований».