Όσο χρήσιμες και αν είναι οι συνδεδεμένες συσκευές, όπως τα κουδούνια της πόρτας και τα έξυπνα φώτα, είναι συνετό να είστε προσεκτικοί όταν χρησιμοποιείτε συνδεδεμένη τεχνολογία στο σπίτι σας, ειδικά μετά από χρόνια ανάγνωσης για παραβιάσεις κάμερας ασφαλείας, επιθέσεις botnet ψυγείου και έξυπνες σόμπες που ανάβουν μόνες τους. Αλλά μέχρι τώρα, δεν υπήρχε ένας εύκολος τρόπος για να αξιολογήσετε την ασφάλεια ενός προϊόντος. Ένα νέο πρόγραμμα από τη Connectivity Standards Alliance (CSA), την ομάδα πίσω από το πρότυπο έξυπνου σπιτιού Matter, θέλει να το διορθώσει.
Ανακοινώθηκε αυτή την εβδομάδα, η Προδιαγραφή IoT Device Security Specification της CSA είναι ένα βασικό πρότυπο και πρόγραμμα πιστοποίησης κυβερνοασφάλειας που στοχεύει στην παροχή μιας ενιαίας, παγκοσμίως αναγνωρισμένης πιστοποίησης ασφάλειας για συσκευές IoT καταναλωτών.
Οι κατασκευαστές συσκευών που συμμορφώνονται με τις προδιαγραφές και περνούν από τη διαδικασία πιστοποίησης μπορούν να φέρουν το νέο σήμα Επαληθευμένης Ασφάλειας Προϊόντος (PSV) της CSA. Εάν αυτή η κάμερα ασφαλείας ή ο έξυπνος λαμπτήρας που αγοράζετε φέρει το σήμα, θα ξέρετε ότι πληροί τις απαιτήσεις για να το προστατεύσετε από κακόβουλες προσπάθειες εισβολής και άλλες εισβολές που θα μπορούσαν να επηρεάσουν το απόρρητό σας.
«Η έρευνα δείχνει συνεχώς ότι οι καταναλωτές αξιολογούν την ασφάλεια ως σημαντικό οδηγό αγοράς συσκευών, αλλά δεν ξέρουν τι να αναζητήσουν από την άποψη της ασφάλειας για να λάβουν μια τεκμηριωμένη απόφαση αγοράς», λέει ο Eugene Liderman, διευθυντής στρατηγικής ασφάλειας για κινητά στη Google, στο The Χείλος. “Προγράμματα όπως αυτό θα δώσουν στους καταναλωτές έναν απλό, εύκολα αναγνωρίσιμο δείκτη που πρέπει να αναζητήσουν.”
Το Liderman είναι μέρος της ομάδας εργασίας CSA που καθόρισε την προδιαγραφή 1.0 για το πρόγραμμα, το οποίο έχει αναπτυχθεί από περισσότερες από 200 εταιρείες μέλη της CSA. Αυτά περιλαμβάνουν (μαζί με την Google) Amazon, Comcast, Signify (Philips Hue) και αρκετούς κατασκευαστές chip όπως Arm, Infineon και NXP.
Σύμφωνα με τον Tobin Richardson, Διευθύνοντα Σύμβουλο της CSA, τα προϊόντα που φέρουν το σήμα PSV θα μπορούσαν να αρχίσουν να εμφανίζονται αμέσως αυτή τη γιορτινή περίοδο αγορών.
Ένα σήμα ασφάλειας στον κυβερνοχώρο για να τους κυβερνά όλους
Η ανακοίνωση της CSA στις 18 Μαρτίου ακολουθεί τα νέα της περασμένης εβδομάδας ότι η FCC ενέκρινε την εφαρμογή του νέου της προγράμματος επισήμανσης κυβερνοασφάλειας για καταναλωτικές συσκευές IoT στις ΗΠΑ. Και τα δύο προγράμματα είναι εθελοντικά και η ετικέτα του CSA δεν ανταγωνίζεται το σήμα εμπιστοσύνης κυβερνοειδών των ΗΠΑ. Αντίθετα, προχωρά ένα βήμα παραπέρα, λαμβάνοντας όλες τις απαιτήσεις των ΗΠΑ και προσθέτοντας βασικές γραμμές ασφάλειας στον κυβερνοχώρο από παρόμοια προγράμματα στη Σιγκαπούρη και την Ευρώπη. Το τελικό αποτέλεσμα είναι ένα ενιαίο πρόγραμμα προδιαγραφών και πιστοποίησης που μπορεί να λειτουργήσει σε πολλές χώρες (βλ. πλαϊνή γραμμή).
Ο Richardson λέει ότι ο στόχος είναι το σήμα PSV της CSA να αναγνωριστεί από τις κυβερνήσεις, ώστε οι κατασκευαστές να μπορούν να περάσουν από μία μόνο διαδικασία πιστοποίησης για να πουλήσουν σε όλες τις μεγάλες αγορές. Αυτό θα μπορούσε να μειώσει το κόστος και την πολυπλοκότητα για τους κατασκευαστές και ενδεχομένως να προσφέρει περισσότερες επιλογές στους καταναλωτές.
Το σήμα PSV έχει αναγνωριστεί από την Υπηρεσία Κυβερνοασφάλειας της Σιγκαπούρης και η CSA λέει ότι εργάζεται για την αμοιβαία αναγνώριση με παρόμοια προγράμματα στις ΗΠΑ, την ΕΕ και το Ηνωμένο Βασίλειο. «Είναι πολύ πιθανό, και με ορισμένες [χώρες], είναι σίγουρο», λέει ο Richardson. «Είναι κυρίως θέμα δέσμευσης κάποιας γραφειοκρατίας».
Για να λάβουν το σήμα PSV, οι συσκευές πρέπει να συμμορφώνονται με την Προδιαγραφή Ασφάλειας Συσκευών IoT 1.0 και να περάσουν από ένα πρόγραμμα πιστοποίησης που περιλαμβάνει την απάντηση σε ένα ερωτηματολόγιο και την παροχή συνοδευτικών αποδεικτικών στοιχείων σε εξουσιοδοτημένο εργαστήριο δοκιμών. Τα κυριότερα σημεία των απαιτήσεων περιλαμβάνουν:
Μοναδική ταυτότητα για κάθε Συσκευή IoT
Δεν υπάρχουν κωδικοποιημένοι προεπιλεγμένοι κωδικοί πρόσβασης
Ασφαλής αποθήκευση ευαίσθητων δεδομένων στη συσκευή
Ασφαλής επικοινωνία πληροφοριών σχετικών με την ασφάλεια
Ασφαλείς ενημερώσεις λογισμικού καθ’ όλη την περίοδο υποστήριξης
Ασφαλής διαδικασία ανάπτυξης, συμπεριλαμβανομένης της διαχείρισης ευπάθειας
Δημόσια τεκμηρίωση σχετικά με την ασφάλεια, συμπεριλαμβανομένης της περιόδου υποστήριξης
Σύμφωνα με την CSA, το εθελοντικό πρόγραμμα ισχύει για τις περισσότερες συνδεδεμένες έξυπνες οικιακές συσκευές – συμπεριλαμβανομένων των λαμπτήρων, των διακοπτών, των θερμοστατών και των καμερών ασφαλείας – και μπορεί να εφαρμοστεί αναδρομικά σε προϊόντα της αγοράς. Μαζί με το σήμα PSV, «Μια τυπωμένη διεύθυνση URL, υπερσύνδεσμος ή κωδικός QR στο σήμα δίνει στους καταναλωτές πρόσβαση σε περισσότερες πληροφορίες σχετικά με τα χαρακτηριστικά ασφαλείας της συσκευής», αναφέρει η CSA στο δελτίο τύπου της.
Το πρόγραμμα εστιάζει ειδικά στην ασφάλεια της συσκευής — διασφαλίζοντας ότι δεν είναι δυνατή η πρόσβαση στην ίδια τη φυσική συσκευή — και όχι στο απόρρητο. “Αλλά υπάρχει μια στενή σύνδεση στο ότι δεν μπορείτε να έχετε ιδιωτικότητα χωρίς ασφάλεια”, λέει ο Richardson. Ενώ η ασφάλεια επηρεάζει το απόρρητο, αυτό το πρόγραμμα δεν προσφέρει πολλές απαιτήσεις σχετικά με τον τρόπο με τον οποίο ένας κατασκευαστής χρησιμοποιεί τα δεδομένα που συλλέγει μια συσκευή. Η CSA έχει μια ξεχωριστή Ομάδα Εργασίας Προστασίας Δεδομένων που ασχολείται με αυτό το κουτί σκουληκιών.
Καλύτερη ασφάλεια, αλλά και πάλι όχι τέλεια
Η τρέχουσα επανάληψη του προγράμματος δεν είναι μια ασημένια κουκκίδα για την επίλυση προβλημάτων ασφάλειας συσκευών IoT. Ο Steve Hanna της Infineon Technologies, ένας 25χρονος ερευνητής κυβερνοασφάλειας και πρόεδρος της ομάδας εργασίας CSA για το πρόγραμμα, είπε στο The Verge ότι υπάρχουν ακόμα περισσότερα που θα ήθελε να δει να ενσωματωθούν. «Αλλά πρέπει να σέρνουμε, να περπατάμε και μετά να τρέχουμε», λέει. «Είναι ένα τεράστιο βήμα προς τα εμπρός να έχουμε μια παγκόσμια πιστοποίηση ασφάλειας IoT για καταναλωτές. Είναι πολύ καλύτερο από το να μην έχεις».
Ο Liderman της Google επισημαίνει επίσης ότι η τήρηση των ελάχιστων προτύπων ασφαλείας δεν εγγυάται ότι μια συσκευή είναι απαλλαγμένη από ευπάθειες. «Πιστεύουμε πολύ ότι ο κλάδος πρέπει να ανεβάσει τον πήχη με την πάροδο του χρόνου, ειδικά για ευαίσθητες κατηγορίες προϊόντων», λέει.
Η CSA σχεδιάζει να διατηρήσει ενημερωμένη τις προδιαγραφές, απαιτώντας από τις εταιρείες να επαναπιστοποιούν τουλάχιστον κάθε τρία χρόνια. Επιπλέον, ο Richardson λέει ότι θα υπάρχει απαίτηση για μια διαδικασία απόκρισης συμβάντων, επομένως εάν μια εταιρεία αντιμετωπίσει ένα ζήτημα ασφαλείας – όπως τα πρόσφατα προβλήματα του Wyze – πρέπει να τα διορθώσει πριν μπορέσει να πιστοποιηθεί εκ νέου.
Για να αντιμετωπίσει τις ανησυχίες σχετικά με την κακή χρήση της ετικέτας, η Hanna λέει ότι η CSA θα έχει μια βάση δεδομένων με όλα τα πιστοποιημένα προϊόντα στον ιστότοπό της, ώστε να μπορείτε να διασταυρώσετε τους ισχυρισμούς μιας εταιρείας. Λέει επίσης ότι υπάρχουν σχέδια να διατεθούν οι πληροφορίες σε ένα API, το οποίο θα μπορούσε να επιτρέψει στην εφαρμογή της πλατφόρμας έξυπνου σπιτιού να σας ειδοποιεί για την κατάσταση ασφαλείας μιας συσκευής προτού μπορέσει να συνδεθεί στο δίκτυό σας.
Η Hanna προειδοποιεί να μην θέτει προσδοκίες πολύ υψηλές. «Ορισμένες εταιρείες είναι ενθουσιασμένες με αυτό που αναγνωρίζουν τη δουλειά που έχουν ήδη κάνει, αλλά δεν πρέπει να περιμένουμε ότι κάθε προϊόν θα έχει αυτό», λέει. Κάποιοι μπορεί να διαπιστώσουν ότι έχουν προβλήματα που σημαίνει ότι δεν μπορούν να λάβουν πιστοποίηση, λέει. «Εάν ή όταν αυτά απαιτηθούν από τις κυβερνήσεις, εκεί είναι που το λάστιχο βγαίνει στο δρόμο».
Ένα εθελοντικό πρόγραμμα μπορεί να φαίνεται σαν ένα δάχτυλο στο φράγμα, αλλά λύνει δύο βασικά προβλήματα. Για τους κατασκευαστές, διευκολύνει τη συμμόρφωση με κανονισμούς από πολλές χώρες σε ένα βήμα, ενώ για τους καταναλωτές, ανοίγει μια λεωφόρο για πληροφορίες σχετικά με το είδος των πρακτικών ασφαλείας που ακολουθεί μια εταιρεία.
«Χωρίς ετικέτα ή σήμα, μπορεί να είναι δύσκολο ως καταναλωτής να πάρεις μια απόφαση αγοράς με βάση την ασφάλεια», λέει η Hollie Hennessy, εμπειρογνώμονας στον τομέα της κυβερνοασφάλειας IoT στην εταιρεία τεχνολογίας Omdia. Αν και το να είναι εθελοντικό το πρόγραμμα θα μπορούσε να αποτελέσει εμπόδιο για την υιοθεσία, η Hennessy λέει ότι η έρευνα της εταιρείας της δείχνει ότι οι άνθρωποι είναι πιο πιθανό να αγοράσουν μια συσκευή με ετικέτα απορρήτου και ασφάλειας.
Τελικά, η Hennessy πιστεύει ότι ένας συνδυασμός προτύπων και πιστοποιήσεων όπως αυτός, μαζί με κανονισμούς και νομοθεσία είναι απαραίτητοι για να λυθούν οι ανησυχίες των καταναλωτών σχετικά με το απόρρητο και την ασφάλεια στις συνδεδεμένες συσκευές. Αλλά αυτή η κίνηση είναι ένα μεγάλο βήμα προς τη σωστή κατεύθυνση.
