Первый в мире закон о защите умных вещей

Реально защитит пользователей или только увеличит затраты на производство IoT-устройств?

Закон SB-327 об информационной безопасности устройств, подключенных к интернету, принят в Калифорнии и вступит в силу в 2020 году. Он обязывает разработчиков смарт-систем создавать для них уникальные логины и пароли, с целью обеспечить общую безопасность в интернете. Как восприняло этот закон сообщество и как он повлияет на развитие индустрии, читайте ниже.

Автор законопроекта сенатор Ханна-Бет Джексон, говорит, что закон должен был появиться давно. По ее мнению, простые потребители редко интересуются вопросами безопасности покупаемых гаджетов, потому разработчики не торопятся устранять уязвимости в защите.

Особенно остро эта проблема выглядит в случае с детскими игрушками, такими как куклы My Friend Cayla. Они общаются с детьми и переправляют записи на серверы производителя, например, чтобы проанализировать вопрос и найти на него ответ. Это создает потенциальную уязвимость для персональных данных ребенка. По этой причине в Германии вообще запретили продажу таких кукол.

Основное требование калифорнийского закона заключается в том, что каждый производитель IoT-устройств должен снабдить свои гаджеты надлежащими средствами защиты. Что будет считаться «надлежащими средствами защиты», в законе не сказано, зато прописано конкретное требование в системе аутентификации пользователя. Разработчик должен либо сам создать уникальные комбинации логина и пароля для каждого отдельного устройства, либо обязать покупателя изменить стандартные заводские данные для входа при первом использовании техники.

Специалисты по кибербезопасности приняли закон скептически. Одним из главных критиков стал Роберт Грэхем, эксперт по кибербезопасности в компании Errata Security. Роберт пишет, что формулировки о «средствах защиты» слишком расплывчаты, поэтому производителям будет тяжело определить критерии, которым нужно соответствовать.

Более того, в законе невозможно указать способы противодействия конкретным угрозам, потому что постоянно появляются новые виды атак. Грэхем считает, что закон приведет только к увеличению затрат на производство умных устройств.

Закон бесполезен и по мнению Джо Ли, вице-президента компании, которая создает платформу для защиты IoT-сетей. По словам Джо, безопасность интернета вещей — это сложная отрасль, которая не ограничивается вопросами паролей для устройств.

Ряд экспертов по информационной безопасности поддержали новый законопроект. Одним из таких людей стал Бо Вудс, специалист по безопасности в аналитическом центре Atlantic Council. По его словам, расплывчатые формулировки в законе использованы намеренно. Это позволит компаниям самостоятельно разработать требования к защите устройств.

Многие специалисты считают, что даже неидеальный закон — лучше, чем его отсутствие. Автор книг по кибербезопасности и криптограф Брюс Шнайер сказал, что SB-327 — шаг в верном направлении, хотя этого документа недостаточно для полноценного регулирования IoT.

Пользователи в целом поддерживают инициативу правительства Калифорнии. Резиденты Hacker News отмечают, что пароли производителей могут быть слишком предсказуемыми и совпадать с серийным номером. Но это решение лучше, чем стандартный пароль для всех устройств одной модели.

Некоторые пользователи считают закон бессмысленным. Комментатор на Slashdot указал, что чаще всего проблемы с безопасностью IoT-девайсов не решаются заменой пароля и связаны с уязвимостями в прошивке и программных модулях. Например, в 2017 году баг обнаружили в библиотеке gSOAP, которую используют производители IoT-устройств. В ходе демонстрации специалисты по безопасности взломали домашнюю камеру и получили с нее изображение.

Активность со стороны политиков по разработке законодательства по защите интернета вещей наблюдается последние три года.

Американское правительство, начиная с 2015 года, выпускает руководства для производителей смарт-устройств, в которых дает свои рекомендации по защите персональных данных пользователей. В прошлом году в Конгрессе США было рассмотрено несколько проектов, которые требуют от федеральных агентств разработать нормы безопасности для IoT-устройств.

В Европе подобным документом можно считать директиву о безопасности сетей и информационных систем, принятую в июле 2016 года. Она не касается интернета вещей напрямую, но устанавливает требования к защите систем компаний в критически важных сферах: энергетике, финансах, здравоохранении, транспортной отрасли. Документ содержит только список правил, а методы их реализации каждое государство Евросоюза должно определить самостоятельно.

Закон о защите IoT-устройств разрабатывает и австралийское правительство. По словам политиков, они стремятся создать сбалансированный документ, который защитит потребителей и не ограничит инновации в IoT. Для этого регулятор ведет диалог с представителями индустрии. Пока политики лишь обсуждают требования к производителям смарт-устройств.

Таким образом, калифорнийский закон стал первым, в котором формулируются общие требования ко всем производителям IoT-устройств. И хотя он не идеален, есть мнение, что директива станет ориентиром для других стран и положит начало активной работе над безопасностью умных гаджетов.