52 PROIZVODI I SISTEMI
SAVJETI KOMPANIJE SECURA BV
OD “POŽELJNO IMATI” DO “PODRAZUMIJEVA SE“ S POVEĆANJEM OBIMA I FUNKCIONALNOSTI IOT PROIZVODA POVEĆAVAJU SE I NJIHOVI CYBER SIGURNOSNI RIZICI. ZBOG OGROMNOG BROJA UREĐAJA I NJIHOVE POVEZANOSTI S DRUGIM VISOKORIZIČNIM OKRUŽENJIMA OVO POSTAJE OZBILJAN PROBLEM Piše: Razvan Venter, voditelj programa za IoT sigurnost, Secura BV razvan.venter@secura.com Neporeciv je trenutni uspon ekosistema interneta stvari (IoT). Naprimjer, pametni uređaji u stanovima, vozila povezana s pametnom transportnom infrastrukturom ili uređaji kojima se može daljinski upravljati putem mobilnih aplikacija i oblaka samo su neki primjeri toga. Štaviše, brzina kojom se IoT širi se povećava. Na osnovu nedavnih izvještaja, očekivano je da će 5,8 milijardi IoT uređaja biti u upotrebi do kraja 2020. godine, i to samo u automobilskom i poslovnom okruženju. Kad god se spomene termin IoT, odmah se pomisli na pametne potrošačke uređaje. Ustvari, ova je paradigma, iako malo zastarjela, i dalje u velikoj mjeri ispravna. Na osnovu više izvještaja, predviđa se da će tržište potrošačkih IoT proizvoda dosegnuti vrijednost 153,8 milijardi dolara do 2026. godine. Međutim, s povećanjem obima i funkcionalnosti povezanih uređaja povećavaju se i njihovi cyber sigurnosni rizici. Zbog obima tog tržišta i njegove povezanosti s drugim visokorizičnim okruženjima ovo postaje ozbiljan problem.
Postoje li javni standardi za zaštitu IoT uređaja? Odgovornost za uvođenje dostatnih sigurnosnih kontrola u IoT proizvodima uglavnom leži na njihovim programerima, jer su oni ti koji tehnički imaju sposobnost programiranja takvih sigurnosnih funkci-
www.asadria.com april/travanj 2021.
Cilj standarda je pružiti temeljnu osnovu za zahtjeve koji se tiču sigurnosti. Opće znanje o procjeni sigurnosti hardvera, softvera i protokola je dovoljno da bi se ispunili svi zahtjevi onalnosti. Ali često je jedan od najvećih izazova tačno znati kakvu vrstu sigurnosnih kontrola treba uključiti. Je li dovoljna jednostavna provjera autentifikacije/ autorizacije i enkripcije podataka ili bi IoT proizvodi trebali sadržavati sofisticiranije funkcije kao što su sigurno pokretanje sistema, zaštita od fizičkog neovlaštenog pristupa ili zaštita od ekstrakcije podataka iz elektromagnetnih talasa uređaja (tzv. side-channel napadi)? Budući da je ovo važno pitanje, potreba za dostatnim i kvalitetnim međunarodnim standardima i najboljim praksama presudna je za oblast potrošačkog interneta stvari. Srećom, takvih publikacija nam ne manjka. Okvir osnova sigurnosti IoT uređaja, IEC 62443-4-2, GSMA IoT zahtjevi ili ETSI EN 303 645 primjeri su dobro po-
znatih publikacija koje se mogu koristiti kao referenca za implementaciju sigurnosnih funkcionalnosti prilikom razvoja takvih proizvoda. Ponekad je teško odabrati između ovih standarda (i mnogih drugih u ovoj oblasti). Međutim, u posljednje dvije godine svijet cyber sigurnosti počeo je sve više usmjeravati pažnju na ETSI EN 303 645, s nadom da bi ovo mogao postati konačni referentni standard koji smo svi tražili.
Referentni standard ETSI EN 303 645, koji je službeno objavio ETSI u junu 2020. godine, pruža zajednički precizan pogled na to kako treba izgledati temelj sigurnosti potrošačkih IoT uređaja, izostavljajući zahtjeve koji bi otežali testiranje ili ga učinili predugim.
