Вы используете устаревший браузер!

Страница может отображаться некорректно.

Информация к размышлению

Информация к размышлению

Другие выпуски этой рубрики (76)
  • добавить в избранное
    Добавить в закладки

Безопасный девайс

Прочитали: 678 Комментариев: 35 Рейтинг: 49

Успешные атаки на роутеры и умные устройства во многом возможны по двум причинам – использование паролей по умолчанию и работа с устройствами, имеющими уязвимости. В свою очередь, уязвимости обусловлены двумя факторами (помимо некорректной настройки) – неустановкой обновлений самими пользователями и отсутствием заплаток для уязвимостей. И если с первым поделать что-то сложно (если не передавать обслуживание устройств третьим лицам или не устанавливать все обновления автоматически), то второе – вопрос решаемый. В частности, за счет появления требований к компаниям производителям. В выпуске «Европа против хакеров: будет ли закон и порядок?» мы уже писали о том, как Евросоюз движется по пути выработки требований к поставщикам, – очередная новость пришла из Азии.

Власти Сингапура объявили об очередном этапе реализации стратегии информационной безопасности, представленной 4 года назад. В частности, Агентство кибербезопасности Сингапура (Cyber Security Agency of Singapore – CSA), координирующее в том числе работу по защите критически важной информационной инфраструктуры государства (включая энергетический и банковский секторы) и работы по повышению осведомленности пользователей, представило схему маркировки устройств (Cybersecurity Labelling Scheme, CLS) по их уровню защищенности. Коснулась она и маршрутизаторов и умных устройств.

Каждый из четырех уровней оценки отражает возрастающую устойчивость продукта к базовым атакам, которым тот может подвергаться. Так, если производитель хочет, чтобы продукт был оценен на уровне CLS 3 (три звездочки), он должен пройти оценку уровней защищенности 1, 2 и 3.

  • Уровень 1. Базовые требования безопасности

    Производители должны следовать набору базовых требований безопасности на основе ETSI EN 303 645, устраняя «типичные ошибки» для защиты от большинства атак, в том числе атак на пароль по умолчанию. Должны быть доступны обновления безопасности и средства для управления отчетами об уязвимостях.

    Первый уровень означает использование по умолчанию случайных стойких парольных фраз, отключение потенциально уязвимых интерфейсов, автоматическую загрузку обновлений, использование только защищенного входа в систему управления устройством.

  • Уровень 2. Требования жизненного цикла

    Производители должны включать требования по безопасности из Руководства по кибербезопасности IMDA IoT (IMDA IoT Cyber Security Guide) в жизненный цикл разработки устройств (моделирование угроз, безопасный инженерный подход, безопасная цепочка поставок, тестирование безопасности и т. д.).

  • Уровень 3. Анализ ПО

    Программное обеспечение устройства должно пройти проверку испытательной лабораторией на отсутствие известных критических уязвимостей или вредоносных программ.

  • Уровень 4. Тест на проникновение

    Устройство должно пройти тестирование на проникновение в испытательной лаборатории.

В CSA подчеркнули, что их методика базируется на международных стандартах, поэтому проблем с дублированием сертификации возникать не должно.

Начиная с 13 апреля 2021 года продажа соответствующих устройств в Сингапуре без такой маркировки может быть запрещена, но менять ранее приобретенные устройства не требуется.

#законодательство #Интернет_вещей #роутер #уязвимость

Антивирусная правДА! рекомендует

Данные меры представляются нам вполне разумными, и, как мы уже отмечали в одном из предыдущих выпусков, регуляторы в России идут по тому же пути и уже требуют исполнения требований по безопасности в ходе жизненного цикла программ. Другой вопрос, что выполнение подобных требований требует наличия специалистов, которые обладают знаниями, необходимыми для оценки безопасности устройства, защищенности его от злоумышленников. И, как мы уже упоминали, такие специалисты есть в нашей компании. Обращайтесь!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей