همانطور که دستگاه های متصل مانند زنگ های ویدئویی و چراغ های هوشمند مفید هستند، عاقلانه است که هنگام استفاده از فناوری های متصل در خانه احتیاط کنید، به خصوص پس از سال ها مطالعه درباره هک دوربین های امنیتی، حملات بات نت های یخچال و اجاق های هوشمند که خودشان روشن می شوند. اما تاکنون راه ساده ای برای ارزیابی قابلیت های امنیتی یک محصول وجود نداشته است. یک برنامه جدید از اتحاد استانداردهای اتصال (CSA)، گروهی که در پشت استاندارد خانه هوشمند Matter قرار دارد، میخواهد این مشکل را حل کند.
این هفته اعلام شد، CSA IoT Device Security Specification یک استاندارد پایه امنیت سایبری و برنامه صدور گواهی است که هدف آن ارائه یک گواهینامه امنیتی منحصر به فرد و شناخته شده جهانی برای دستگاه های IoT مصرف کننده است.
سازندگان دستگاههایی که به مشخصات پایبند هستند و فرآیند صدور گواهینامه را دنبال میکنند، میتوانند علامت جدید CSA Product Security Verified (PSV) را داشته باشند. اگر دوربین امنیتی یا لامپ هوشمندی که خریداری میکنید دارای مارک باشد، میدانید که شرایط لازم برای محافظت از آن در برابر تلاشهای هک مخرب و سایر نفوذهایی که میتواند بر حریم خصوصی شما تأثیر بگذارد را برآورده میکند.
«این یک گام بزرگ رو به جلو برای داشتن گواهینامه امنیت اینترنت اشیاء مصرف کننده جهانی است. این خیلی بهتر از نداشتن است، “استیو هانا، Infineon
یوجین لیدرمن، مدیر استراتژی امنیت موبایل در گوگل میگوید: «تحقیقات به طور مداوم نشان میدهد که مصرفکنندگان امنیت را به عنوان یک عامل مهم در خرید دستگاه میدانند، اما نمیدانند از منظر امنیتی برای تصمیمگیری آگاهانه خرید به دنبال چه چیزی باشند.» لبه. “برنامه هایی مانند این به مصرف کنندگان معیاری ساده و قابل شناسایی را می دهد تا به دنبال آن باشند. »
لیدرمن بخشی از گروه کاری CSA است که مشخصات 1.0 برنامه را تعریف کرده است توسط بیش از 200 شرکت عضو CSA توسعه یافته است. اینها شامل (همراه با گوگل) آمازون، Comcast، Signify (Philips Hue) و چندین سازنده تراشه مانند Arm، Infineon و NXP هستند.
به گفته توبین ریچاردسون، مدیر عامل CSA، محصولات با برند PSV ممکن است از همان اوایل فصل خرید تعطیلات آغاز شود.
یک برند امنیت سایبری که بر همه آنها حکومت کند
اعلامیه 18 مارس CSA به دنبال اعلام هفته گذشته است که FCC اجرای برنامه برچسبگذاری امنیت سایبری جدید خود را برای دستگاههای IoT مصرفکننده در ایالات متحده تأیید کرده است. هر دو برنامه داوطلبانه هستند و علامت CSA با علامت اعتماد سایبری آمریکا رقابت نمی کند. در عوض، حتی فراتر می رود و تمام الزامات ایالات متحده را در نظر می گیرد و پایه های امنیت سایبری را از برنامه های مشابه در سنگاپور و اروپا اضافه می کند. نتیجه نهایی یک برنامه مشخصات و گواهینامه واحد است که می تواند در چندین کشور کار کند (نوار کناری را ببینید).
ریچاردسون میگوید هدف این است که نشان CSA PSV توسط دولتها به رسمیت شناخته شود، بنابراین تولیدکنندگان میتوانند برای فروش در تمام بازارهای اصلی یک فرآیند صدور گواهینامه را طی کنند. این می تواند هزینه ها و پیچیدگی را برای تولید کنندگان کاهش دهد و به طور بالقوه انتخاب بیشتری را برای مصرف کنندگان فراهم کند.
برند PSV توسط آژانس امنیت سایبری سنگاپور به رسمیت شناخته شده است و CSA می گوید با برنامه های مشابه در ایالات متحده، اتحادیه اروپا و بریتانیا در جهت شناسایی متقابل کار می کند. ریچاردسون می گوید: «این بسیار محتمل است، و برای برخی (کشورها) یک قطعیت است. “این عمدتا در مورد تکمیل برخی از مدارک است.”
برای به دست آوردن نشان PSV، دستگاه ها باید با مشخصات امنیتی دستگاه اینترنت اشیا 1.0 مطابقت داشته باشند و یک برنامه صدور گواهینامه که شامل پاسخ به پرسشنامه و ارائه شواهد به یک آزمایشگاه تست تایید شده است را انجام دهند. نکات برجسته الزامات عبارتند از:
- هویت منحصر به فرد برای هر دستگاه IoT
- بدون رمز عبور پیش فرض سخت کد شده
- ذخیره ایمن داده های حساس روی دستگاه
- ارتباطات ایمن اطلاعات مربوط به ایمنی
- به روز رسانی نرم افزار ایمن در طول دوره پشتیبانی
- فرآیند توسعه امن، از جمله مدیریت آسیب پذیری
- اسناد امنیت عمومی، از جمله دوره پشتیبانی
بر اساس CSA، این برنامه داوطلبانه برای اکثر دستگاههای خانه هوشمند متصل، از جمله لامپها، سوئیچها، ترموستاتها و دوربینهای امنیتی اعمال میشود و میتواند به صورت ماسبق برای محصولات موجود در بازار اعمال شود. علاوه بر نام تجاری PSV، CSA در بیانیه مطبوعاتی خود نشان می دهد که “یک URL چاپ شده، لینک یا کد QR روی نام تجاری به مصرف کنندگان اجازه می دهد تا به اطلاعات بیشتری در مورد ویژگی های امنیتی دستگاه دسترسی داشته باشند”.
این برنامه به طور خاص بر امنیت دستگاه – اطمینان از اینکه خود دستگاه فیزیکی قابل دسترسی نیست – به جای حفظ حریم خصوصی تمرکز دارد. ریچاردسون میگوید: «اما یک ارتباط قوی از این نظر وجود دارد که هیچ حریم خصوصی بدون امنیت وجود ندارد. اگرچه امنیت حریم خصوصی را تحت تأثیر قرار می دهد، این برنامه الزامات زیادی برای نحوه استفاده سازنده از داده های جمع آوری شده توسط یک دستگاه ارائه نمی کند. CSA یک گروه کاری مجزا برای حفظ حریم خصوصی داده دارد که با این قوطی ، سروکار دارد.
امنیت بهتر است، اما هنوز کامل نیست
تکرار فعلی این برنامه یک گلوله نقره ای برای حل مسائل امنیتی دستگاه اینترنت اشیا نیست. استیو هانا از Infineon Technologies، محقق امنیت سایبری به مدت 25 سال و رئیس گروه کاری CSA برای این برنامه، گفت: لبه هنوز چیزهای دیگری وجود دارد که او دوست دارد در آن گنجانده شود. او گفت: «اما ما باید بخزیم، راه برویم، سپس بدویم. «این یک گام بزرگ رو به جلو برای داشتن گواهینامه امنیت اینترنت اشیاء مصرف کننده جهانی است. خیلی بهتر از نداشتن است.
لیدرمن گوگل همچنین خاطرنشان می کند که رعایت حداقل استانداردهای امنیتی تضمین نمی کند که دستگاه عاری از آسیب پذیری باشد. او میگوید: «ما معتقدیم صنعت باید به مرور زمان، بهویژه برای دستههای محصولات حساس، سطح را بالا ببرد.
CSA قصد دارد مشخصات را به روز نگه دارد و شرکت ها را ملزم می کند که حداقل هر سه سال یکبار مجدداً تأیید کنند. علاوه بر این، ریچاردسون می گوید که یک فرآیند واکنش به حادثه ضروری خواهد بود. بنابراین اگر یک شرکت با یک مشکل امنیتی مانند مشکلات اخیر Wyze مواجه شود، قبل از تأیید مجدد باید آنها را حل کند.
یک API می تواند به یک برنامه پلت فرم خانه هوشمند اجازه دهد تا قبل از اینکه بتواند به شبکه شما بپیوندد، وضعیت امنیتی یک دستگاه را به شما اطلاع دهد.
برای رسیدگی به نگرانیها در مورد سوء استفاده از برچسب، هانا میگوید که CSA یک پایگاه داده از تمام محصولات تأیید شده در وبسایت خود خواهد داشت تا بتوانید ادعاهای یک شرکت را ارجاع دهید. همچنین میگوید برنامههایی برای در دسترس قرار دادن اطلاعات در یک API وجود دارد که میتواند به برنامه پلتفرم خانه هوشمند شما اجازه دهد تا قبل از اینکه بتواند به شبکه شما بپیوندد، وضعیت امنیتی دستگاه را به شما اطلاع دهد.
هانا نسبت به بالا بردن انتظارات هشدار می دهد. او میگوید: «برخی از شرکتها مشتاق هستند کارهایی را که قبلا انجام دادهاند تشخیص دهند، اما ما نباید انتظار داشته باشیم که هر محصولی چنین کاری را داشته باشد. او می گوید که برخی ممکن است متوجه شوند که مشکلاتی دارند که مانع از دریافت گواهینامه می شود. “اگر یا زمانی که این اقدامات مورد نیاز دولت ها قرار گیرد، اینجاست که لاستیک وارد می شود.”
ممکن است یک برنامه داوطلبانه مانند یک انگشت در سد به نظر برسد، اما دو مشکل اساسی را حل می کند. برای تولیدکنندگان، این امر انطباق با مقررات در کشورهای مختلف را در یک مرحله ساده میکند، در حالی که برای مصرفکنندگان، دری را برای بینش نسبت به نوع شیوههای ایمنی یک شرکت باز میکند.
هالی هنسی، کارشناس امنیت سایبری اینترنت اشیا در شرکت تحلیل فناوری Omdia می گوید: «بدون برچسب یا نام تجاری، تصمیم گیری خرید براساس امنیت به عنوان یک مصرف کننده می تواند دشوار باشد. اگرچه داوطلبانه بودن این برنامه میتواند مانعی برای پذیرش باشد، اما هنسی میگوید تحقیقات شرکت او نشان میدهد که مردم تمایل بیشتری به خرید دستگاهی با برچسبهای حریم خصوصی و امنیتی دارند.
در نهایت، هنسی معتقد است که ترکیبی از استانداردها و گواهینامههایی مانند این، همراه با مقررات و قوانین، برای رفع نگرانیهای مصرفکننده در مورد حریم خصوصی و امنیت دستگاههای متصل ضروری است. اما این تصمیم گام بزرگی در مسیر درست است.
منبع: https://www.theverge.com/2024/3/18/24104906/csa-iot-device-security-specification-product-security-verification-mark