Jste zde

Secure by design: trend přišel tiše, ale rychle

Bezpečnost IT a informační infrastruktury pohltila také oblast IoT. Výrobci a poskytovatelé služeb se tak nevyhnou řadě regulací EU, státu, ale i provozovatelů sítí a cloudových služeb.

IoT systémy se vedle komunikační infrastruktury dostaly do oblasti zájmu evropských i národních regulátorů, kteří určují, jaké minimální parametry mají zařízení a sítě splňovat, aby mohly být zařazeny mezi potenciálně bezproblémové. Z často citované kauzy posledních měsíců okolo 5G sítí vyplývá, že již vznikají black listy výrobců. Je nepochybné, že budou vznikat seznamy doporučených a nedoporučených providerů služeb, ať se budou jmenovat jakkoli. Ty následně ovlivní jejich další bytí, získávání státních zakázek, přístup k projektům v oblasti infrastruktury nebo chytrých měst.

Právní rámec

Začneme trochu nudně, a to shora. V první řadě existuje Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (lex.europa.eu), známá jako směrnice NIS. S ní souvisí další nařízení, která vstupují v platnost ve všech státech EU bez ohledu na to, jak jsou zapracována do národní legislativy. Sem patří mimo jiné i GDPR. Vybrané předpisy lze najít např. na webu ČTÚ v přehledné formě a českém znění. V národním měřítku vše zpestřuje ještě Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (nbu.cz), který již doznal řady změn. Zatím poslední znění uvádí vyhláška č. 82/2018 Sb. - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti). Řada těchto předpisů se zrcadlí v normách ISO i národních normách jednotlivých států (viz  ČSN ISO/IEC 27001:2014).

Řadu doporučení vydává také evropská agentura ENISA - European Union Agency for Network and Information Security. Ta pro obecnou problematiku IoT, Smart Cities, Industry 4.0, Smart Hospitals a dalších oblastí nabízí interaktivní nástroj, který přehledně řadí související předpisy.

Kromě toho, že tyto předpisy určují odpovědnost za informace, stanovují také povinnost předcházet jejich zneužití. Zpět k technice a inženýrství, máme zde risc based approach, security by design a další doporučené postupy.

Hrozby a důsledky

Z technického hlediska si útočníci vybírají IoT systémy velmi rádi. V době, kdy zařízení nemají téměř žádné zabezpečení, je to jednoduché a jakýkoli výpadek služby nebo odstavení zařízení zasáhne velkou oblast i velký počet uživatelů. Řada rizik, vyplývajících ze zanedbání vývojáře je dobře popsána v dokumentu Code of Practice for Consumer IoT Security, který vydal britský National Cyber Security Centre (NCSC) ve spolupráci se státní agenturou pro digitalizaci, kulturu, média a sport (DCMS).

Napadení IoT zařízení může mít dalekosáhlé důsledky nejen pro uživatele a jejich osobní data, ale také pro poskytovatele síťové infrastruktury, cloudových služeb nebo analýzy dat. To si firmy začínají uvědomovat a přicházejí s vlastními postupy pro ochranu zařízení a dat. I když by se přístup v dokumentu Code of Practice for Consumer IoT Security mohl zdát jako jednostranný a vyvolávající zbytečnou paniku, stejná doporučení a řadu dalších uvádí i další, tentokrát technologiím bližší autority.

 

GSMA IoT Security Guidelines and IoT Security Assessment 

Asociace GSMA a sdružení operátoři využívají vlastní průvodce (gsma.com), který obsahuje 85 podrobných doporučení, která se týkají sítě, služeb, i připojených zařízení. Dokument IoT Security for Endpoint System, známý jako CLP13, řadí 20 požadavků mezi kritické, dalších 11 požadavků má vysokou prioritu. Ke každému dodává podrobný a specifický popis včetně obecných doporučení, jak se s nimi vypořádat v prostředí mobilní sítě. Je jasné, že zde najdeme i oněch třináct bodů, určených pro popularizaci bezpečnosti.

Amazon

Amazon začlenil požadavky na zařízení do certifikačního programu. V dokumentu AWS Security Best Practices (https://aws.amazon.com) uvádí řadu požadavků na bezpečnost, rozdělených do logiky cloudové služby, přenášených dat, aplikací, ale také správy zařízení, kde mohou čerpat vývojáři IoT systémů.

Pohledem obchodníka

Respektování principů secure by design a bezpečnostních doporučení se vyplatí hned z několika stran. Výrobce (vývojář) na jednotlivých bodech a jejich splnění může dokumentovat svoji odpovědnost a zároveň se formálně krýt pro případ napadení. Je důležité uvědomit si, že prodejce prostřednictvím prohlášení o shodě deklaruje, že si je vědom rizik a závazků za dodaná zařízení všem zúčastněným subjektům a shoda se v tomto případě týká všech předpisů v úvodu článku.

Jak je ale vidět, minimální bezpečnostní standardy si prostřednictvím svých doporučení hlídají také poskytovatel služeb, operátoři a asociace. Jejich dosažení (a deklarace či certifikace kompatibility) se brzy stanou nedílnou součástí podmínek pro vstup do sítí a cloudových platforem. Stejné standardy budou požadovat také zákazníci z oblasti státní správy, municipalit a infrastruktury.

Třetí stranou, které se to týká, je vždy zákazník. Ten dostává formou doporučení, jakým je britský Code of Practice for Consumer IoT Security, do ruky mocnou zbraň: Pokud seznam použije jako checklist při výběru zařízení do svého domu nebo firemní sítě, řadu systémů velmi rychle vyškrtne jako nespolehlivé a koupí raději dražší, ale bezpečnější řešení.

https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool
https://www.gsma.com/iot/iot-security/iot-security-guidelines/ 
https://aws.amazon.com/compliance/security-by-design/

Hodnocení článku: