W listopadzie 2017 roku Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała „Podstawowe zalecenia bezpieczeństwa dotyczące Internetu Rzeczy (IoT) w kontekście krytycznych infrastruktur informatycznych”. Głównym celem tego opracowania było przedstawienie porad w zakresie bezpieczeństwa Internetu Rzeczy europejskim organizacjom z uwzględnieniem takich czynników jak złożoność krytycznych zasobów, aktualne cyberzagrożenia oraz rozwiązania do ochrony systemów takich jak IoT. Kaspersky Lab, jako członek grupy ekspertów bezpieczeństwa IoT w ramach ENISA (IoTSEC), uczestniczył w tworzeniu raportu, dostarczając zalecenia eksperckie.
Według badania Kaspersky Lab, incydenty z udziałem niekomputerowych urządzeń połączonych z internetem znajdują się w pierwszej trójce incydentów o najpoważniejszym wpływie na finanse, zarówno jeśli chodzi o małe i średnie firmy jak i korporacje. W ramach odpowiedzi na coraz większe rozpowszechnienie zagrożeń IoT oraz konsolidacji wiedzy eksperckiej w zakresie cyberbezpieczeństwa organizacja ENISA zebrała panelistów pochodzących z niektórych spośród czołowych podmiotów na rynku, w tym ekspertów z firmy Kaspersky Lab, w celu opracowania profesjonalnych porad. W ramach raportu „Podstawowe zalecenia bezpieczeństwa dotyczące Internetu Rzeczy (IoT)” agencja przedstawiła wytyczne dla instytucji z Unii Europejskiej, producentów sprzętu IoT oraz twórców oprogramowania.
Kaspersky Lab posiada ogromne doświadczenie w zakresie bezpieczeństwa infrastruktury krytycznej. Uważamy, że nasz wkład w zalecenia bezpieczeństwa ENISA dotyczące Internetu Rzeczy pomoże organizacjom opracować efektywniejsze strategie bezpieczeństwa, a decydentom politycznym – ustanowić właściwe regulacje pozwalające stawić czoła współczesnym cyberzagrożeniom – skomentował Andriej Dołkwałow, szef działu przyszłych technologii, główny architekt strategii, Kaspersky Lab.
Eksperci z Kaspersky Lab należący do grupy IoTSEC przedstawili swoje zalecenia na dwóch frontach – dla decydentów politycznych Unii Europejskiej oraz twórców sprzętu i oprogramowania w zakresie Internetu Rzeczy. W odniesieniu do kluczowych kwestii dotyczących bezpieczeństwa w przypadku decydentów politycznych Unii Europejskiej, eksperci z Kaspersky Lab zalecają następujące działania:
- Zorientowanie na zalecenia, wytyczne i wymagania certyfikacyjne dotyczące określonego sektora zamiast podejścia holistycznego.
- Standaryzacja na poziomie Unii Europejskiej oraz zapewnienie ogólnounijnej terminologii i taksonomii IoT dla międzynarodowych standardów cyberbezpieczeństwa.
- Aktywna współpraca z branżą i zaangażowanie sektora prywatnego w tworzenie polityki przez wykorzystanie istniejących stowarzyszeń branżowych i ugrupowań takich jak AIOTI.
- Utworzenie warstwowego systemu obrony przed zagrożeniami dla cyberbezpieczeństwa jako niezwykle istotnego dla urządzeń IoT.
Osobom, które bezpośrednio pracują z systemami IoT, eksperci z Kaspersky Lab zalecają podjęcie następujących działań w celu zwiększenia bezpieczeństwa:
- Dopilnowanie, aby wszyscy pracownicy posiadali aktualną wiedzę oraz umiejętności w zakresie cyberbezpieczeństwa i podlegali stałym testom.
- Zapewnienie interoperacyjności danych z niezawodnym i automatycznym systemem łatania. Producenci sprzętu IoT oraz twórcy oprogramowania muszą przyjąć polityki w zakresie zarządzania ryzykiem dotyczącym cyberłańcucha dostaw oraz komunikować wymogi w zakresie cyberbezpieczeństwa swoim dostawcom i partnerom.
- Przeprowadzanie przeglądu kodu podczas procesu implementacji w celu zmniejszenia liczby błędów w ostatecznej wersji produktu, przy jednoczesnej identyfikacji wszelkich prób wprowadzenia szkodliwego oprogramowania lub obejścia uwierzytelnienia.
Pełna lista porad dotyczących ochrony krytycznych infrastruktur Internetu Rzeczy jest dostępna w opracowaniu organizacji ENISA:
https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot.
Informacje na temat ENISA
Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) stanowi centrum wiedzy eksperckiej w zakresie cyberbezpieczeństwa w Europie. Agencja jest zlokalizowana w Grecji, z siedzibą w miejscowości Heraklion na Krecie. Agencja ściśle współpracuje z państwami członkowskimi oraz sektorem prywatnym w celu dostarczania porad i rozwiązań. Obejmują one europejskie ćwiczenia z zakresu bezpieczeństwa sieci, opracowywanie krajowych strategii bezpieczeństwa cybernetycznego, współpracę z zespołami reagowania na komputerowe incydenty naruszające bezpieczeństwo oraz budowanie potencjału, jaki również badania w zakresie bezpiecznego wdrożenia chmury, podejmowanie kwestii ochrony danych, technologie ochrony prywatności oraz polityka w zakresie nowych technologii, środków identyfikacji elektronicznej (eID) oraz usług zaufania, identyfikowanie krajobrazu cyberzagrożeń itd. ENISA wspiera również tworzenie i wdrażanie polityki Unii Europejskiej oraz przepisów regulujących kwestie związane z NIS. Więcej informacji znajduje się na stronie https://www.enisa.europa.eu/about-enisa.
Źródło: Kaspersky Lab
