Systemy IoT wykorzystywane są już niemal w każdej gałęzi gospodarki i w licznych aspektach życia. Sprawa bezpieczeństwa systemów używanych w przemyśle, transporcie czy medycynie jest dosyć oczywista - jakikolwiek nieautoryzowany dostęp może poskutkować stratami materialnymi lub nawet zagrożeniem życia, a zatem prawidłowe zabezpieczenia są absolutnym priorytetem. Konsumencki IoT niestety ciągle traktowany jest znacznie bardziej z przymrużeniem oka - nie istnieją żadne standardy lub akty legislacyjne jasno określające, które urządzenie można uznać za bezpieczne. O ile w przypadku drobnych urządzeń wykorzystywanych na co dzień, takich jak włączniki światła czy słuchawki bezprzewodowe, nie jest to absolutnie priorytetowe, o tyle znaczna część elektroniki noszonej zbiera i gromadzi dane wrażliwe.
Jakie urządzenia można uznać za bezpieczne?
Dotychczas wszystkie kwestie związane z ustandaryzowaniem bezpieczeństwa IoT poruszane były przez niezależne organizacje. Najciekawszy model zaproponowało Industrial Internet Consortium (IIC), określając 5 cech, które musi spełniać urządzenie, aby zostać uznane za bezpieczne: nieszkodliwość - urządzenie musi działać bez stwarzania zagrożenia dla życia i zdrowia ludzkiego w sposób pośredni lub bezpośredni, ochrona - sprzęt musi być chroniony przed nieautoryzowanym użyciem, zarówno celowym, jak i przypadkowym, prywatność - zebrane informacje wolno udostępniać tylko upoważnionym podmiotom, a użytkownik musi być poinformowany, jakie dane zbiera urządzenie i wyrazić na to zgodę. Istotna jest też niezawodność - urządzenie musi prawidłowo wykonywać wymagane od niego zadania w przewidzianych dla niego warunkach w deklarowanym przez producenta czasie oraz elastyczność - sprzęt musi podtrzymać niezbędne dla utrzymania systemu funkcje w przypadku wystąpienia zakłóceń.
Bezpieczeństwo wymogiem prawnym?
Problem prawidłowego ustandaryzowania bezpieczeństwa pojawił się już w oficjalnych aktach prawnych w USA. Jako pierwsze podjęły się tego stany Kalifornia i Oregon, które na początku 2020 roku wprowadziły prawo zobowiązujące developerów do wyposażania swoich urządzeń w "rozsądne zabezpieczenia". Choć w dalszym ciągu przepis ten jest niemal martwy (bo w żaden sposób nie określa, które zabezpieczenia są "rozsądne"), to zapoczątkował serię dyskusji i podobnych aktów prawnych. Najbardziej interesującym, pod względem ustandaryzowania bezpieczeństwa, jest niewątpliwie H.R. 1668 - The Internet of Things Cybersecurity Improvement Act of 2020, wzywający do utworzenia "standardów i wytycznych dla rządu federalnego w zakresie właściwego wykorzystywania i zarządzania urządzeniami Internetu Rzeczy należącymi do agencji lub przez nią kontrolowanymi i połączonych z systemami informatycznymi należącymi do agencji lub przez nią kontrolowanymi, w tym minimalnych wymagań dotyczących zarządzania cyberbezpieczeństwem związanym z takimi urządzeniami".
Pomimo że akt prawny odnosi się jedynie do urządzeń IoT wykorzystywanych przez instytucje rządowe, może zapoczątkować wiele bliźniaczych ustaw, również w innych krajach, dotyczących IoT zarówno przemysłowego, jak i konsumenckiego. Pozwoli to na stworzenie jasnych i dokładnych standardów bezpieczeństwa, co wpłynie korzystnie na dalszy rozwój IoT.
