Bezpieczeństwo w IoT stanie się wymogiem prawnym
| Gospodarka Mikrokontrolery i IoTBezpieczeństwo systemów IoT już od wielu lat jest gorącym tematem, a producenci prześcigają się wzajemnie w deklaracjach na temat dobrego zabezpieczenia swoich produktów. Niestety, rzeczywistość okazuje się nieco inna - konsumenci nie chcą płacić większych kwot w zamian za lepiej zabezpieczony produkt, lub nawet rzadko kiedy biorą pod uwagę bezpieczeństwo jako kryterium przy wyborze. Sprawia to, że implementacja zabezpieczeń lepszej jakości przestaje być opłacalna. Sytuacja ta może ulec jednak zmianie - na świecie pojawiają się już projekty ustaw zobowiązujących producentów do zachowywania standardów w konsumenckim obszarze IoT.
Systemy IoT wykorzystywane są już niemal w każdej gałęzi gospodarki i w licznych aspektach życia. Sprawa bezpieczeństwa systemów używanych w przemyśle, transporcie czy medycynie jest dosyć oczywista - jakikolwiek nieautoryzowany dostęp może poskutkować stratami materialnymi lub nawet zagrożeniem życia, a zatem prawidłowe zabezpieczenia są absolutnym priorytetem. Konsumencki IoT niestety ciągle traktowany jest znacznie bardziej z przymrużeniem oka - nie istnieją żadne standardy lub akty legislacyjne jasno określające, które urządzenie można uznać za bezpieczne. O ile w przypadku drobnych urządzeń wykorzystywanych na co dzień, takich jak włączniki światła czy słuchawki bezprzewodowe, nie jest to absolutnie priorytetowe, o tyle znaczna część elektroniki noszonej zbiera i gromadzi dane wrażliwe.
Jakie urządzenia można uznać za bezpieczne?
Dotychczas wszystkie kwestie związane z ustandaryzowaniem bezpieczeństwa IoT poruszane były przez niezależne organizacje. Najciekawszy model zaproponowało Industrial Internet Consortium (IIC), określając 5 cech, które musi spełniać urządzenie, aby zostać uznane za bezpieczne: nieszkodliwość - urządzenie musi działać bez stwarzania zagrożenia dla życia i zdrowia ludzkiego w sposób pośredni lub bezpośredni, ochrona - sprzęt musi być chroniony przed nieautoryzowanym użyciem, zarówno celowym, jak i przypadkowym, prywatność - zebrane informacje wolno udostępniać tylko upoważnionym podmiotom, a użytkownik musi być poinformowany, jakie dane zbiera urządzenie i wyrazić na to zgodę. Istotna jest też niezawodność - urządzenie musi prawidłowo wykonywać wymagane od niego zadania w przewidzianych dla niego warunkach w deklarowanym przez producenta czasie oraz elastyczność - sprzęt musi podtrzymać niezbędne dla utrzymania systemu funkcje w przypadku wystąpienia zakłóceń.
Bezpieczeństwo wymogiem prawnym?
Problem prawidłowego ustandaryzowania bezpieczeństwa pojawił się już w oficjalnych aktach prawnych w USA. Jako pierwsze podjęły się tego stany Kalifornia i Oregon, które na początku 2020 roku wprowadziły prawo zobowiązujące developerów do wyposażania swoich urządzeń w "rozsądne zabezpieczenia". Choć w dalszym ciągu przepis ten jest niemal martwy (bo w żaden sposób nie określa, które zabezpieczenia są "rozsądne"), to zapoczątkował serię dyskusji i podobnych aktów prawnych. Najbardziej interesującym, pod względem ustandaryzowania bezpieczeństwa, jest niewątpliwie H.R. 1668 - The Internet of Things Cybersecurity Improvement Act of 2020, wzywający do utworzenia "standardów i wytycznych dla rządu federalnego w zakresie właściwego wykorzystywania i zarządzania urządzeniami Internetu Rzeczy należącymi do agencji lub przez nią kontrolowanymi i połączonych z systemami informatycznymi należącymi do agencji lub przez nią kontrolowanymi, w tym minimalnych wymagań dotyczących zarządzania cyberbezpieczeństwem związanym z takimi urządzeniami".
Pomimo że akt prawny odnosi się jedynie do urządzeń IoT wykorzystywanych przez instytucje rządowe, może zapoczątkować wiele bliźniaczych ustaw, również w innych krajach, dotyczących IoT zarówno przemysłowego, jak i konsumenckiego. Pozwoli to na stworzenie jasnych i dokładnych standardów bezpieczeństwa, co wpłynie korzystnie na dalszy rozwój IoT.
