Görüntülü kapı zilleri ve akıllı ışıklar gibi bağlı cihazlar ne kadar faydalı olsa da egzersiz yapmak akıllıca olacaktır Bağlı teknolojiyi kullanırken dikkatli olun Özellikle yıllarca güvenlik kamerası hack’lerini okuduktan sonra, evinizde buzdolabı botnet saldırılarıve akıllı sobalar kendi kendine açılıyor. Ancak şimdiye kadar bir ürünün güvenlik özelliklerini değerlendirmenin kolay bir yolu yoktu. Yeni bir programdan Bağlantı Standartları Birliği (CSA)Akıllı ev standardı Matter’ın arkasındaki grup bunu düzeltmek istiyor.
Bu hafta açıklanan CSA’nın IoT Cihaz Güvenliği Spesifikasyonu Tüketici IoT cihazları için küresel olarak tanınan tek bir güvenlik sertifikası sağlamayı amaçlayan temel bir siber güvenlik standardı ve sertifikasyon programıdır.
Bu kurallara uyan cihaz üreticileri Şartname ve sertifikasyon sürecinden geçerek CSA’nın yeni Ürün Güvenliği Doğrulanmış (PSV) İşaretini taşıyabilir. Satın aldığınız güvenlik kamerası veya akıllı ampul işareti taşıyorsa, onu kötü niyetli bilgisayar korsanlığı girişimlerinden ve gizliliğinizi etkileyebilecek diğer izinsiz girişlerden korumaya yardımcı olacak gereksinimleri karşıladığını bileceksiniz.
“Küresel tüketici IoT güvenlik sertifikasına sahip olmak ileriye doğru atılmış büyük bir adım. Sahip olmamaktan çok daha iyi” Steve Hanna, Infineon
Google’ın mobil güvenlik stratejisi direktörü Eugene Liderman şunları söylüyor: “Araştırmalar sürekli olarak tüketicilerin güvenliği cihaz satın alırken önemli bir faktör olarak değerlendirdiğini gösteriyor ancak bilinçli bir satın alma kararı vermek için güvenlik perspektifinden ne arayacaklarını bilmiyorlar.” Sınır. “Bunun gibi programlar tüketicilere aramaları için basit, kolayca tanımlanabilir bir gösterge sunacak.”
Liderman, programın 1.0 spesifikasyonunu tanımlayan CSA çalışma grubunun bir parçasıdır. CSA’nın 200’den fazla üye şirketi tarafından geliştirilmiştir. Bunlar arasında (Google ile birlikte) Amazon, Comcast, Signify (Philips Hue) ve Arm, Infineon ve NXP gibi çeşitli çip üreticileri yer alıyor.
CSA CEO’su Tobin Richardson’a göre PSV İşaretini taşıyan ürünler bu tatil alışveriş sezonundan itibaren ortaya çıkmaya başlayabilir.
Hepsine hükmedecek tek bir siber güvenlik işareti
CSA’nın duyurusu 18 Mart’ta geçen haftaki haberin ardından FCC, yeni siber güvenlik etiketleme programının uygulanmasını onayladı ABD’deki tüketici IoT cihazları için. Her iki program da gönüllüdür ve CSA’nın etiketi ABD Siber Güven Markasıyla rekabet etmez. Bunun yerine, bir adım daha ileri giderek ABD’nin tüm gerekliliklerini alıyor ve Singapur ve Avrupa’daki benzer programlardan siber güvenlik temellerini ekliyor. Nihai sonuç, birden fazla ülkede çalışabilen tek bir spesifikasyon ve sertifikasyon programıdır (kenar çubuğuna bakın).
Richardson, amacın CSA’nın PSV Markasının hükümetler tarafından tanınması olduğunu, böylece üreticilerin tüm büyük pazarlarda satış yapmak için yalnızca tek bir sertifikasyon sürecinden geçebileceğini söyledi. Bu, üreticiler için maliyeti ve karmaşıklığı azaltabilir ve potansiyel olarak tüketicilere daha fazla seçenek sunabilir.
PSV Markası Singapur Siber Güvenlik Ajansı tarafından tanındıve CSA, ABD, AB ve Birleşik Krallık’taki benzer programlarla karşılıklı tanınma üzerinde çalıştığını söylüyor. “Bu çok muhtemel ve bazılarıyla [countries], bu kesin” diyor Richardson. “Bu esas olarak bazı evrak işlerini halletme meselesi.”
PSV İşaretini alabilmek için cihazların aşağıdaki şartlara uyması gerekir: IoT Cihaz Güvenliği Spesifikasyonu 1.0 ve bir anketin yanıtlanmasını ve eşlik eden kanıtların yetkili bir test laboratuvarına sunulmasını içeren bir sertifika programından geçmelisiniz. Gereksinimlerde öne çıkanlar şöyle:
- Her IoT Cihazı için benzersiz kimlik
- Sabit kodlanmış varsayılan şifre yok
- Hassas verilerin cihazda güvenli şekilde saklanması
- Güvenlikle ilgili bilgilerin güvenli iletişimi
- Destek süresi boyunca güvenli yazılım güncellemeleri
- Güvenlik açığı yönetimi dahil güvenli geliştirme süreci
- Destek süresi de dahil olmak üzere güvenliğe ilişkin kamuya açık belgeler
CSA’ya göre gönüllü program, ampuller, anahtarlar, termostatlar ve güvenlik kameraları da dahil olmak üzere bağlantılı akıllı ev cihazlarının çoğu için geçerli ve geriye dönük olarak piyasadaki ürünlere uygulanabilir. CSA, PSV İşaretinin yanı sıra, “İşaretteki basılı bir URL, hiper bağlantı veya QR kodu, tüketicilerin cihazın güvenlik özellikleri hakkında daha fazla bilgiye erişmesini sağlar” diyor. basın açıklaması.
Program, gizlilikten ziyade özellikle cihaz güvenliğine (fiziksel cihazın kendisine erişilememesini sağlamaya) odaklanmıştır. Richardson, “Ancak güvenlik olmadan mahremiyete sahip olamayacağınız konusunda yakın bir bağlantı var” diyor. Güvenlik gizliliği etkilese de bu program, üreticinin cihazın topladığı verileri nasıl kullandığına ilişkin pek fazla gereksinim sunmaz. CSA’nın bu tür solucanlarla ilgilenen ayrı bir Veri Gizliliği Çalışma Grubu vardır.
Daha iyi güvenlik ama yine de mükemmel değil
Programın mevcut yinelemesi, IoT cihazının güvenlik endişelerini çözecek sihirli bir değnek değil. 25 yıllık siber güvenlik araştırmacısı ve programın CSA çalışma grubunun başkanı olan Infineon Technologies’den Steve Hanna şunları söyledi: Sınır dahil edilmesini görmek istediği daha çok şey var. “Ama emeklememiz, yürümemiz ve sonra koşmamız gerekiyor” diyor. “Küresel tüketici IoT güvenlik sertifikasına sahip olmak ileriye doğru atılmış büyük bir adım. Hiç olmamasından çok daha iyi.”
Google’dan Liderman ayrıca minimum güvenlik standardını karşılamanın bir cihazın güvenlik açığından arınmış olmasını garanti etmediğine de dikkat çekiyor. “Sektörün özellikle hassas ürün kategorileri için zaman içinde çıtayı yükseltmesi gerektiğine inanıyoruz” diyor.
CSA, spesifikasyonları güncel tutmayı planlıyor ve şirketlerin en az üç yılda bir yeniden sertifika almasını zorunlu kılıyor. Ek olarak Richardson, bir olay müdahale sürecine ihtiyaç duyulacağını, dolayısıyla bir şirketin Wyze’nin son sorunları gibi bir güvenlik sorunuyla karşılaşması durumunda, yeniden sertifikalandırılmadan önce bunları düzeltmesi gerektiğini söylüyor.
Bir API, akıllı ev platformu uygulamasının, bir cihazın ağınıza katılmadan önce güvenlik durumu konusunda sizi uyarmasına olanak tanıyabilir
Hanna, etiketin kötüye kullanılmasıyla ilgili endişeleri gidermek için CSA’nın web sitesinde tüm sertifikalı ürünleri içeren bir veri tabanına sahip olacağını, böylece bir şirketin iddialarını çapraz kontrol edebileceğinizi söyledi. Ayrıca, akıllı ev platformu uygulamanızın, ağınıza katılmadan önce bir cihazın güvenlik durumu konusunda sizi uyarmasına olanak tanıyabilecek bilgilerin bir API’de sunulmasına yönelik planların olduğunu da söylüyor.
Hanna beklentileri çok yüksek tutmamak konusunda uyarıyor. “Bazı şirketler, daha önce yapmış oldukları çalışmaların takdir edilmesinden heyecan duyuyor ancak her ürünün buna sahip olmasını beklememeliyiz” diyor. Bazıları, sertifika alamadıkları anlamına gelen sorunlarla karşılaşabileceğini söylüyor. “Bunlar hükümetler tarafından talep edilirse veya olduğunda, kauçuğun yola çıktığı yer burasıdır.”
Gönüllü bir program barajda bir parmak gibi görünebilir, ancak iki temel sorunu çözer. Üreticiler için birden fazla ülkedeki düzenlemelere tek adımda uymayı kolaylaştırırken, tüketiciler için bir şirketin ne tür güvenlik uygulamalarına uyduğu hakkında bilgi edinmenin yolunu açıyor.
IoT siber güvenlik uzmanı Hollie Hennessy, “Bir etiket veya işaret olmadan, bir tüketicinin güvenliğe dayalı bir satın alma kararı vermesi zor olabilir” diyor. teknoloji analisti firması Omdia. Programın gönüllü olması benimsemenin önünde bir engel olsa da Hennessy, firmasının araştırmasının insanların gizlilik ve güvenlik etiketi olan bir cihazı satın alma olasılığının daha yüksek olduğunu gösterdiğini söylüyor.
Sonuçta Hennessy, tüketicilerin bağlı cihazlardaki gizlilik ve güvenlikle ilgili endişelerini çözmek için düzenleme ve mevzuatın yanı sıra bunun gibi standartlar ve sertifikaların bir kombinasyonunun gerekli olduğuna inanıyor. Ancak bu hamle doğru yönde atılmış büyük bir adımdır.