Savjeti kompanije Secura BV

S POVEĆANJEM OBIMA I FUNKCIONALNOSTI IOT PROIZVODA POVEĆAVAJU SE I NJIHOVI CYBER SIGURNOSNI RIZICI. ZBOG OGROMNOG BROJA UREĐAJA I NJIHOVE POVEZANOSTI S DRUGIM VISOKORIZIČNIM OKRUŽENJIMA OVO POSTAJE OZBILJAN PROBLEM

Piše: Razvan Venter, voditelj programa Piše: Razvan Venter, voditelj programa za IoT sigurnost, Secura BV za IoT sigurnost, Secura BV razvan.venter@secura.com razvan.venter@secura.com

Neporeciv je trenutni uspon ekosistema interneta stvari (IoT). Naprimjer, pametni uređaji u stanovima, vozila povezana s pametnom transportnom infrastrukturom ili uređaji kojima se može daljinski upravljati putem mobilnih aplikacija i oblaka samo su neki primjeri toga. Štaviše, brzina kojom se IoT širi se povećava. Na osnovu nedavnih izvještaja, očekivano je da će 5,8 milijardi IoT uređaja biti u upotrebi do kraja 2020. godine, i to samo u automobilskom i poslovnom okruženju. Kad god se spomene termin IoT, odmah se pomisli na pametne potrošačke uređaje. Ustvari, ova je paradigma, iako malo zastarjela, i dalje u velikoj mjeri ispravna. Na osnovu više izvještaja, predviđa se da će tržište potrošačkih IoT proizvoda dosegnuti vrijednost 153,8 milijardi dolara do 2026. godine. Međutim, s povećanjem obima i funkcionalnosti povezanih uređaja povećavaju se i njihovi cyber sigurnosni rizici. Zbog obima tog tržišta i njegove povezanosti s drugim visokorizičnim okruženjima ovo postaje ozbiljan problem.

Odgovornost za uvođenje dostatnih sigurnosnih kontrola u IoT proizvodima uglavnom leži na njihovim programerima, jer su oni ti koji tehnički imaju sposobnost programiranja takvih sigurnosnih funkcionalnosti. Ali često je jedan od najvećih izazova tačno znati kakvu vrstu sigurnosnih kontrola treba uključiti. Je li dovoljna jednostavna provjera autentifi kacije/ autorizacije i enkripcije podataka ili bi IoT proizvodi trebali sadržavati sofi sticiranije funkcije kao što su sigurno pokretanje sistema, zaštita od fi zičkog neovlaštenog pristupa ili zaštita od ekstrakcije podataka iz elektromagnetnih talasa uređaja (tzv. side-channel napadi)? Budući da je ovo važno pitanje, potreba za dostatnim i kvalitetnim međunarodnim standardima i najboljim praksama presudna je za oblast potrošačkog interneta stvari. Srećom, takvih publikacija nam ne manjka. Okvir osnova sigurnosti IoT uređaja, IEC 62443-4-2, GSMA IoT zahtjevi ili ETSI EN 303 645 primjeri su dobro poznatih publikacija koje se mogu koristiti kao referenca za implementaciju sigurnosnih funkcionalnosti prilikom razvoja takvih proizvoda. Ponekad je teško odabrati između ovih standarda (i mnogih drugih u ovoj oblasti). Međutim, u posljednje dvije godine svijet cyber sigurnosti počeo je sve više usmjeravati pažnju na ETSI EN 303 645, s nadom da bi ovo mogao postati konačni referentni standard koji smo svi tražili.

ETSI EN 303 645, koji je službeno objavio ETSI u junu 2020. godine, pruža zajednički precizan pogled na to kako treba izgledati temelj sigurnosti potrošačkih IoT uređaja, izostavljajući zahtjeve koji bi otežali testiranje ili ga učinili predugim.

Jednom riječju, da! Postojanje relevantnih standarda sigurnosnog certifi ciranja bio je bitan aspekt šireg usvajanja sigurnog dizajna (security by design) među programerima. Mogućnost da zauzvrat dobiju ofi cijelni certifi kat i iskoriste ga za ostvarivanje prednosti na tržištu može stimulirati proizvođače IoT uređaja da odvoje više vremena i novca za cyber sigurnost. Zapravo, postoji nekoliko opcija između kojih programeri mogu birati, a trenutno su najrelevantnije one zasnovane na ETSI EN 303 645 standardima. Nacionalne šeme certifi kacije za IoT uspostavljene su u Finskoj i Singapuru. Istovremeno, postoje privatne šeme za certifi ciranje na osnovu ETSI norme. Svi znamo da sigurnost nije jeftin posao. Da bi certifi cirali proizvod, programeri će morati uložiti ne samo u testiranje već i u izradu potrebne dokumentacije proizvoda, kao i rješavanje mogućih otkrivenih sigurnosnih propusta. Međutim, posjedovanjem ovakvih certifi kata proizvod se ističe između hiljada drugih na IoT tržištu. I na kraju, proces certifi ciranja nije samo sakupljanje strihova na listi zahtjeva. Testiranje i procjena dokumentacije često će pomoći kompanijama da učine proizvod boljim, poboljšaju korisničku dokumentaciju ili riješe sigurnosne propuste koji nisu uočeni tokom razvoja.

Standard je podijeljen u 13 poglavlja, uključujući zahtjeve fokusirane na različite oblasti kontrole, poput sigurne autentikacije/autorizacije, ažuriranja softvera, integriteta softvera, sigurne instalacije itd. Cilj standarda je pružiti temeljnu osnovu za zahtjeve koji se tiču sigurnosti, stoga su, kao što je i očekivano, sigurnosni testovi na proizvodima srednje zahtjevnosti. Opće znanje o procjeni sigurnosti hardvera, softvera i protokola je dovoljno da bi se ispunili svi zahtjevi. Međutim, poteškoće nastaju pri tumačenju nekih koji su namjerno ostavljeni “fl eksibilnim”. Naprimjer, zahtjev “proizvod mora imati mehanizam za ažuriranje za sigurnu instalaciju nadogradnji” traži prije svega konsenzus o tome što se podrazumijeva pod “sigurnom instalacijom”, posebno u smislu onoga što je dovoljno, a što nedovoljno dobro. Postoji više drugih slučajeva gdje je potrebno zajedničko tumačenje kako bi se donijela presuda u vezi s testiranjem. Konačno, za široku primjenjivost standarda potreban je određeni skup dokaza koje će pružiti programer kako bi se olakšala procjena. Očekuje se da će ovo i dalje biti mnogo manje opsežno od dokaza traženih za, naprimjer, evaluaciju na osnovu standarda “Common Criteria”.

Do sada nije uspostavljena regulatorna podloga za isključivo (potrošačke) IoT proizvode, ali to postaje sve češća tema rasprave. Razlog je najčešće to što će potrošače gotovo uvijek više privući funkcionalnosti (ili cijena) proizvoda nego njegova zaštita. Stoga se takva provjera nivoa sigurnosti mora odvijati u pozadini kako bi potrošači mogli birati samo između onih uređaja koji imaju ispunjen barem minimum zaštite. Evropska unija, Ujedinjeno Kraljevstvo, SAD, Brazil i druge regije razmatraju donošenje lokalnih zakona i propisa koji imaju za cilj odrediti minimalan nivo cyber sigurnosti u proizvodima koji se stavljaju na tržište. U početku se želi da taj minimalni nivo bude nešto što programeri mogu postići bez nerazumnih troškova ili napora. Zakoni poput Direktive o radioopremi u EU-u, britanskog zakona o IoT sigurnosti ili kalifornijskog zakona o IoT sigurnosti traže osnovnu sigurnost, uključujući sigurne šifre, postupak otkrivanja ranjivosti ili sigurna ažuriranja softvera. Iako minimalan, očekuje se da će takav početni skup obaveznih zahtjeva napraviti veliku razliku u unapređenju sigurnosti IoT proizvoda dostupnih na tržištu. Kako godine budu odmicale, očekuje se da će ovaj set minimalnih zahtjeva biti proširen, a sigurnost potrošačkih IoT proizvoda postepeno povećavati. Jedino čemu se možemo nadati je da ćemo za nekoliko godina sigurnost vidjeti kao “podrazumijeva se” umjesto kao nešto što je tek “poželjno imati”.