Безопасность «Интернета вещей»
Понятие «Интернет вещей» (Internet of things, IoT) неразрывно связано с чем-то умным: умные дома, умный транспорт, умные телевизоры, кофемашины и много всего прочего. А еще в состав «Интернета вещей» входят системы и сервисы, традиционно называемые M2M. Такие сервисы и системы могут быть тесно интегрированы (например, в случае умных сетей электроснабжения) с критической инфраструктурой. И становится ясно, насколько важен вопрос обеспечения ИБ.
И вот, наконец, появились первые рекомендации от отраслевой ассоциации GSMA по защите «Интернета вещей». Авторы разработали три пакета рекомендаций для всех трех сторон-участников IoT-индустрии: телекоммуникационных провайдеров, операторов сервисов и производителей устройств.
Для производителей устройств разработан список уязвимостей, которые до этого момента зачастую предпочитали игнорировать, но которые требуют безотлагательного решения: слабое шифрование, отсутствие поддержки PFS (perfect forward secrecy), использование цифровой подписи кода и т. п.
Сетевых операторов GSMA призывает обеспечить безопасность и защиту приватности как IoT-устройств, так и конечных пользователей.
Операторы, в свою очередь, получили рычаг давления на производителей оборудования: устройства, не обеспечивающие должный уровень безопасности, не будут подключены к сети оператора.
К счастью, производители тоже начали задумываться о безопасности. Samsung опубликовал политику конфиденциальности для функций, встроенных в умные телевизоры.
Изменения в сфере лицензирования
Готовятся изменения для внесения в Постановление Правительства №79«О лицензировании деятельности по технической защите конфиденциальной информации». Нововведения в явном виде зафиксируют, что лицензию на ТЗКИ (осуществление деятельности по технической защите конфиденциальной информации) для обеспечения собственных нужд юрлица (например, при реализации требований Федерального закона «О персональных данных») получать не нужно. Кроме того:
− при проведении мониторинга ИБ понадобится лицензия на ТЗКИ;
− наладка средств защиты также потребует лицензии ФСТЭК;
− оборудование, необходимое для выполнения лицензионных работ, должно быть только в собственности лицензиата (и никакой аренды);
− все лицензиаты ФСТЭК должны иметь систему менеджмента ИБ в соответствии с требованиями национальных стандартов, то есть реализовывать ISO 27001;
− прописаны требования к квалификации и количеству персонала у лицензиата, а также обязательно повышение квалификации не реже одного раза в 5 лет.
С заботой о пользователях
Роскомнадзор дал разъяснения по порядку заполнения Уведомления об обработке (намерении осуществлять обработку) персональных данных (ПДн). Документ содержит рекомендации и пояснения по заполнению всех полей Уведомления об обработке ПДн. Напомним, что в соответствии с Федеральным законом №152-ФЗ «О персональных данных» Оператор ПДн обязан направить Уведомление об обработке ПДн в территориальное направление Роскомнадзора.