Анализи

Сигурността на IoT изисква диференциран подход

Иван Гайдаров

Подсигуряването на Интернет на нещата (IoT) е нещо, което не може да се направи с универсален подход - всеки вид свързани обекти трябва да бъде оценяван индивидуално. За това предупреждава съпредседателят на Trusted Computing Group (TCG), НПО за разработване, дефиниране и популяризиране на отворени, неутрални за производителите, глобални индустриални спецификации и стандарти, който отговаря за Работната група за свързани системи.

Говорейки по време на втория ден на изложението Embedded Technologies Expo and Conference 2019, Стив Хана подчертава как засилващата се тенденция за по-голяма свързаност излага на риск много обекти и прави критичните системи за бизнеса и правителствата по-уязвими към атаки.

И докато често на подсигуряването на IoT се гледа като на една обща дисциплина, Хана е категоричен, че с всяко устройство трябва да се работи според индивидуалните му нужди. По думите му универсален подход не съществува.

"Когато обмисляте каквато и да е друга система за сигурност диференцирате подхода си според задачата. Ако става дума за заключваща система за дома ви например, това, което бихте използвали, би било много различно от това, което ще се използва за охрана на банка или правителствена сграда, защото мащабът на атака, която може да се очаква там, е много по-голям и сложен. Същото важи и за компютрите и свързаните системи. Когато мислим за сигурността, трябва да мислим за различни нива, които съответстват на риска", категоричен е той.

Хана илюстрира своята гледна точка, сравнявайки бейбифон с химически завод - и двете вероятно ще бъдат свързани като стандарт в близко бъдеще, но заплахите към двете и евентуалните последствия от тях са коренно различни.

"Въпреки че е важно устройства като бейбифоните да бъдат подсигурени, за да не могат да бъдат използвани за подслушване, при тях има и ценови аспект. Никой няма да плати хиляди долари за бейбифон, а за производителите това означава, че решението за сигурност трябва да бъде по-евтино", продължава Хана и добавя: "В случая с химически завод рискът е много по-голям, нивото на атака е вероятно да бъде по-сложно и сериозно финансирано. В резултат на това мерките за сигурност трябва да бъдат много по-строги. "

Стив Хана

Стив Хана



Според специалиста персонализираният подход за сигурност изискван от Интернет на нещата, може лесно да бъде постигнат чрез технологиите, които са на разположение днес. Стандартите за сигурност на TCG се основават на концепцията за Trusted Computing, където Root of Trust формира основата на устройството и отговаря на специфичните му изисквания или тези на внедряването.

"Голямото разнообразие от опции за сигурност на TCG осигуряват градивни елементи за създаване на сигурни системи. В случая с химически завод, индустриалният дискретен TPM хардуер може да бъде вграден не само в защитната стена на централата, но и в системата за управление. Това ще даде възможност тези системи да бъдат наблюдавани в реално време и дори да се идентифицират и предотвратяват максимално сложни атаки. За устройства, които са по-малко рискови, може да се създаде TPM фърмуер, който има същия набор от функционалности, но е по-леко подсигурен и следователно по-рентабилен. И накрая, за много малки устройства, които не могат да си позволят TPM фърмуер, DICE предлага добра алтернатива", изброява Хана.

X