Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (99)
  • добавить в избранное
    Добавить в закладки

Быстрая и эффективная сертификация: достижим ли идеал?

Прочитали: 9672 Комментариев: 32 Рейтинг: 58

11 ноября 2020

Сегодня мы хотим затронуть вопрос наличия законодательных требований к обеспечению безопасности сетевых и умных устройств – на примере стран Евросоюза, где эта тематика обсуждается еще с 2016 года. Крайне интересны подходы, которые рассматриваются в документе «Позиция DigitalEurope по вопросу систем сертификации и маркировки в кибербезопасности» (по ссылке на английском).

Мы не раз отмечали, что длительный процесс сертификации продуктов в соответствии с требованиями отечественных регуляторов приводит к тому, что сертифицированные продукты уступают своим ушедшим вперед несертифицированным аналогам. И это понятно, так как на сертификацию продукта уходит минимум полгода. Причем при необходимости изменений в нем, связанных с добавлением новых функций безопасности (как ответ на новые угрозы), новых платформ, которые должен поддерживать сертифицированный продукт, внести их в сертифицированные продукты нельзя просто так – требуется пройти испытания с привлечением тестовой лаборатории (что также занимает много времени).

В результате компании и организации, обязанные использовать сертифицированные решения, вынужденно применяют для защиты продукты, которые, возможно:

  • содержат уязвимости, уже устраненные в свежих сборках несертифицированной версии;
  • уступают несертифицированным версиям по возможностям и функционалу;
  • несовместимы с продуктами иных производителей, вышедшими на рынок уже после подачи на сертификацию.

Еще более ситуация усугубляется, когда регулятор проверяет каждую сборку вирусных баз и правил превентивной защиты на возможные уязвимости. Тем самым существенно увеличивается время получения обновлений – и срок, в течение которого новейшие программы злоумышленников могут работать безнаказанно.

Европейских законодателей тоже заботят эти моменты. Но, видимо, они тоже не до конца понимают, какую яму они себе копают. В упомянутом документе отмечается, что требующие времени и дорогостоящие системы сертификации, существующие на данный момент, пригодны для государственного сектора и секторов критической инфраструктуры, но не применимы к товарам с коротким сроком службы или множественного назначения. Почему так? Для критически важных систем важно отсутствие известных (на момент подачи на сертификацию, естественно) уязвимостей и совместимость с используемыми системами иных производителей. Именно это и дает сертификация. Но поскольку процесс сертификации занимает не один день, Европа получает в довесок все перечисленные выше проблемы, сопровождающие использование сертифицированных решений.

Второй важный момент, отмеченный в документе, – совместимость систем сертификации. Любая деятельность в области стандартов и сертификатов кибербезопасности должна учитывать существующую международную экосистему. И это понятно: различные системы сертификации увеличивают расходы производителей, затягивают время вывода продукта на различные рынки и снижают интерес производителей к самой идее сертификации.

Национальные системы сертификации существуют, по мнению законодателей, в первую очередь для того, чтобы предлагать более дешевую и быструю альтернативу для организаций, упрощающую требования до уровня национального рынка. На самом деле это не всегда так, но оставим это на совести создателей документа. Тем более что они отмечают, что такие схемы становятся помехой, если им будет предоставлен приоритет, но могут играть важную роль, дополняя международные требования.

Третье – постоянное развитие. Регулирующие меры должны учитывать развитие технологий, появление новых требований к продуктам, возникновение новых угроз. Требования к продуктам и решениям не должны быть застывшими.

Отмечается, что наряду с оценкой функционала необходимо использовать оценку процессов, используемых производителем в течение жизненного цикла продукта.

Четвертое. Отмечается, что маркировка продуктов может привести к появлению у конечных пользователей ложного ощущения безопасности. Это именно то, о чем не устает повторять «Доктор Веб»: сравнительные тестирования систем защиты, когда победители обнаруживают 100% угроз, формирует необоснованную уверенность покупателей этих продуктов в своей полной защищенности. Ни один антивирус не может гарантировать 100% перехвата любых угроз.

Пятое – добровольность. Процесс сертификации требует значительных расходов. Важно, чтобы сертификация была добровольной, чтобы стимулировались механизмы самосертификации. Компании сами должны решать, проводить ли им сертификацию. Важно не возводить барьеры для более мелких компаний, требуя высоких начальных затрат.

Так говорится в документе. От себя добавим, что высокая стоимость процесса сертификации и его длительность не только выметают с рынка сертифицированных решений мелких игроков (и уж тем более стартапы), но и приводят к ситуации, при которой «суровость закона компенсируется необязательностью его исполнения». Компании обязаны использовать прошедшие процедуру аттестации решения? Не вопрос, идем в соответствующую фирму и получаем листочек о том, что нужное нам решение такую процедуру прошло. Есть проблема – рынок предлагает решение.

Было бы идеально, если бы к сертификации все пришли рыночным путем – сам рынок оценивал бы рублем или евро наличие сертификата соответствия у продукта. Но практика показывает, что пользователь при прочих равных выберет скорее более дешевое, несертифицированное решение.

Продолжим чтение документа.

Схемы самосертификации или самооценки (такие как структура самооценки безопасности Интернета вещей GSMA) могут развиваться в соответствии с темпами развития технологий и сценариями их использования. Напротив, регулируемые сертификаты могут не пройти проверку временем в будущем ландшафте киберугроз. Используя самосертификацию, компании могут прозрачно и наглядно продемонстрировать, как они обеспечили кибербезопасность в своих продуктах и решениях.

В 2015 году Европейская комиссия запустила государственно-частное партнерство для стимулирования систем кибербезопасности через программу Horizon 2020 и инвестиции участников рынка. В течение 2016 года Европейская комиссия объявила о двух инициативах в области сертификации и маркировки: сертификации безопасности для продуктов ИКТ и введения знака «Надежный Интернет вещей», дающего информацию о соблюдении требований конфиденциальности и безопасности.

Все отмеченное представляется важным и для нашей страны: быстрота реакции регуляторов на требования рынка, скорость сертификации и ее стоимость, совместимость систем сертификации… Сейчас много говорится о продвижении российских решений на международный рынок. Совместимость систем сертификации и их взаимное признание существенно помогли бы компаниям, желающим сократить стоимость выхода на международные рынки.

И мы действительно видим движение наших регуляторов в этом направлении (например, продвижение процедур оценки процессов, используемых производителем в течение жизненного цикла продуктов), но, к сожалению, остаются без изменений встроенные проблемы принятой схемы сертификации. Например, отсутствие возможности оперативного обновления сертифицированных продуктов, что является очень серьезной проблемой для КИИ.

#законодательство #корпоративная_безопасность #обновления_безопасности #уязвимость

Антивирусная правДА! рекомендует

Пока системы сертификации еще не доведены до идеала, при покупке оборудования (особенно незнакомого) из разряда Интернет вещей особенно важно заблаговременно выяснить, не чревато ли приобретение осложнениями, – как минимум имеет смысл банально погуглить на предмет наличия в продукции того или иного производителя известных уязвимостей. Но уверенность в безопасности устройства дает только его проверка специалистами по безопасности, имеющими многолетний опыт в этой области, знающими, как именно атакуют злоумышленники. Компания «Доктор Веб» приглашает к сотрудничеству производителей устройств – от роутеров и до девайсов IoT.

Напомним, что обновление ОС и прошивок оборудования сродни техобслуживанию автомобиля, экономия на котором возможна, но может выйти боком самым неожиданным образом.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей