Твои устройства шпионят за тобой?

Подключенные к Интернету телевизоры, игрушки, холодильники, печи и мультиварки, камеры наблюдения, дверные замки, фитнес-трекеры и осветительные приборы. Вот лишь малая часть того, что называется «Интернетом вещей» (IoT), который произведет революцию в наших домах.

В прочем, не все так радужно, ведь он же одновременно и несет угрозу уязвимости перед лицом злоумышленных действий. Уязвимости систем безопасности в устройствах IoT являются вполне себе обычным явлением. Хакерам ничего не стоит использовать эти уязвимости с целью захвата контроля над устройствами, кражи или изменения данных, а также шпионажа за владельцами «умного» предмета.

Осознавая подобные риски, австралийское правительство ввело новый свод правил, побуждающий производителей делать IoT-устройства более безопасными. В этом своде, среди прочего, содержатся рекомендации по безопасным паролям, необходимости использования программных средств для обеспечения безопасности. Кроме того, в него включены пункты, говорящие о защите и удалению личных данных потребителей. Также этот свод правил требует сообщать об уязвимостях в устройствах и удалять их.

Проблема же заключается в том, что следовать этому Своду правил или нет – дело сугубо добровольное. Опыт некоторых других стран же, например, Великобритании, показывает, что рекомендательный характер свода правил – недостаточная мера для обеспечения защиты, в которой нуждаются потребители.

В действительности же, он даже в некоторой мере увеличивает риски, убаюкивая пользователей ложным чувством защищенности в отношении безопасности устройств, которые они покупают.

Многие устройства IoT небезопасны.

Устройства IoT, как правило, менее безопасны, чем обычные компьютеры.

В 2017 году Австралийская общество защиты прав потребителей в сфере коммуникаций (Australian Communications Consumer Action Network) поручила исследователям из Университета Нового Южного Уэльса протестировать безопасность 20 бытовых устройств, которые можно подключить и контролировать через wi-fi.

В их число входили умный телевизор, портативный динамик, голосовой помощник, принтер, цифровая фоторамка, напольные весы, лампочка, контроллер питания, дымовая пожарная сигнализация и говорящая кукла «Hello Barbie».

Некоторые устройства (включая «Барби») были признаны относительно безопасными с точки зрения конфиденциальности, однако все вышеперечисленные объекты имели те или иные недостатки в плане безопасности. Многие из них допускали потенциально серьезные нарушения безопасности.

По сути это значит, что кто-либо может, например, взломать домашнюю Wi-Fi-сеть и собрать данные с IoT-устройств. Чтобы вы понимали, это как воры следят, в каких окнах горит свет, чтобы знать, какой дом можно обокрасть. Если у этого неизвестного более злые намерения, то он может включить вашу печь, при этом отключив пожарную сигнализацию и другие датчики дыма.

Риски для потребителей и общества.

Одной из причин, ведущих к снижению уровня безопасности в устройствах IoT, является желание производителей свести к минимуму количество компонентов и снизить затраты. Кроме того, многие производители попросту не имеют большого опыта в вопросах кибербезопасности.

На личном уровне за вами могут шпионить и преследовать. Личные фотографии или информация могут быть выставлены на всеобщее обозрение или использованы для вымогательства.

На общественном уровне устройства IoT могут быть взломаны и использованы коллективно для отключения служб и сетей. Компрометация даже одного устройства может позволить взломать подключенную инфраструктуру. Это вызывает все большую озабоченность по мере того, как все больше людей переходят на удаленку, подключаясь к сетям рабочего места из дома.

Своды правил рекомендательного характера.

Признавая эти угрозы, органы по стандартизации, такие как Национальный институт стандартов и технологий США, а также Европейский институт стандартов в области телекоммуникаций, предложили руководящие принципы «передовой практики» в области безопасности IoT. Но эти руководящие принципы основаны на добровольных действиях производителей.

Правительство Великобритании уже сделало вывод, что добровольный свод правил, который оно создало в 2018 году, не работает.

Министр Великобритании по вопросам цифровой инфраструктуры Мэтт Варман заявил в июле: «Несмотря на повсеместное принятие руководящих принципов, содержащихся в Своде правил безопасности интернета вещей, изменения не были достаточно быстрыми, а низкий уровень безопасности до сих пор является распространенным явлением».

В настоящее время Великобритания переходит к введению обязательного кодекса, согласно которому производители обязаны предоставлять разумный уровень безопасности в любом устройстве, которое может подключаться к Интернету.

Совместное регулирование.

Нет никаких оснований полагать, что австралийский Свод правил окажется более эффективным, чем в Великобритании.

Лучшим вариантом было бы «совместное регулирование». Совместное регулирование сочетает аспекты отраслевого саморегулирования как с государственным регулированием, так и с весомым вкладом со стороны общества. Оно включает в себя законы, создающие стимулы для соблюдения требований (и препятствующие несоблюдению) и регулятивного надзора со стороны независимого (и обеспеченного достаточными ресурсами) наблюдательного органа.

Правительство Австралии, по крайней мере, охарактеризовало свой новый свод правил как «первый шаг» к повышению безопасности устройств IoT.

Ну что ж, пожелаем им успехов.

Кстати, для домена, связанного с Интернетом вещей подошла бы зона .network , не находите?