Все більше і більше пристроїв підключаються до Інтернету не лише в приватному секторі, а й у промисловості. Це робить виробництво більш ефективним і все більш автоматизованим, що економить кошти та робочу силу. Тому Інтернет речей (IoT - Internet of Things) швидко поширюється, а кількість підключених пристроїв значно зростає.
Але зі зростаючою залежністю від пристроїв Інтернету речей потреба в сильних заходах кібербезпеки стала ще більш гострою. Це визнали законодавці. Щоб захистити важливі дані, що зберігаються на цих пристроях, уряди в усьому світі запровадили правила для покращення стандартної безпеки пристроїв IoT. На що варто звернути увагу? Допомагає погляд на правила.
Правила IoT в ЄС і США
У Сполучених Штатах у 2020 році був прийнятий Закон про покращення кібербезпеки IoT, і Національному інституту стандартів і технологій (NIST) було доручено створити стандарт для пристроїв IoT. У травні 2021 року адміністрація Байдена ухвалила розпорядження про покращення національної ІТ-безпеки. Потім, у жовтні 2022 року, Білий дім випустив брошуру, в якій було представлено ярлик для пристроїв IoT, починаючи з маршрутизаторів і домашніх камер, щоб вказати рівень безпеки та зробити його видимим з першого погляду.
У Європейському Союзі Європейський парламент запровадив Закон про кібербезпеку та Закон про кіберстійкість, які встановлюють ряд вимог до виробників, перш ніж продукт може бути маркований CE та розміщений на європейському ринку. Це включає в себе етапи оцінки та звітування, а також боротьбу з кібератаками або вразливими місцями протягом життєвого циклу продукту. Загальний регламент захисту даних (GDPR) також поширюється на компанії, що працюють в ЄС, і зобов’язує їх впроваджувати відповідні технічні та організаційні заходи для захисту персональних даних.
ключові елементи
Щоб відповідати нормам, виробники повинні впровадити такі ключові елементи:
- Оновлення програмного забезпечення: Виробники повинні надавати можливість оновлення мікропрограми та гарантувати дійсність і цілісність оновлень, особливо патчів безпеки.
- захист даних: Регламент дотримується концепції «мінімізації даних», тобто лише необхідні дані збираються за згодою користувача, але конфіденційні дані зберігаються безпечно та зашифровано.
- оцінка ризику: Розробники повинні керувати ризиками на етапі проектування та розробки та протягом життєвого циклу продукту, включаючи аналіз CVE (поширені вразливості та експозиції) і випуск патчів для нових уразливостей.
- конфігурація пристрою: Пристрої мають бути випущені з конфігурацією безпеки за замовчуванням, яка видаляє небезпечні компоненти, закриває інтерфейси, коли вони не використовуються, і мінімізує поверхню атаки для процесів за «принципом найменших привілеїв».
- Автентифікація та авторизація: Послуги та комунікації повинні вимагати автентифікації та авторизації із захистом від атак входу грубою силою та політикою складності пароля.
- Захищений зв'язок: Зв’язок між активами IoT має бути автентифікованим, зашифрованим і використовувати безпечні протоколи та порти.
Однак дотримання цих правил може бути складним через їхню складність. Щоб спростити процес, були введені різні сертифікати та стандарти, такі як UL MCV 1376, ETSI EN 303 645, ISO 27402 і NIST.IR 8259, щоб розбити правила на практичні кроки.
Тому компанії, які хочуть захистити свої пристрої IoT від неминучих загроз, повинні використовувати рішення, які захищають їхні пристрої з мінімальними зусиллями та включають службу оцінки ризиків, яку можна вбудовано в пристрій IoT. Таким чином пристрій може бути захищений від ІТ-загроз протягом усього терміну служби. У найкращому випадку рішення має потребувати мінімальних ресурсів і мати можливість інтегруватися в продукт без зміни коду. Таким чином, пристрої IoT можуть працювати безпечно та повністю використовувати їх переваги.
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.