Австралия подготвя правила за устройствата от „Интернет на нещата“

0
275

Потребителските устройства  от „Интернет на нещата“ (IoT), известни също като интелигентни устройства, присъстват  вече в много области на нашия живот и тяхната сигурност е важен въпрос за потребителите и бизнесът. През 2019 г. почти половината австралийски организации са внедрили поне едно IoT решение, а през 2020 г. над 60% от австралийските домакинства са приели поне едно IoT устройство. В световен мащаб кибератаките срещу IoT устройства са се увеличили, почти три пъти през 2019 г. в сравнение с предходната година.

През септември 2020 г. австралийското правителство въведе своя доброволен  Практически кодекс: защита на Интернет на нещата за потребителите (IoT Code). Правителството вече посочи, че в Австралия предстои преминаване към задължителен стандарт, като на 13 юли 2021 г. е публикуван документ за обсъждане “Укрепване на австралийските разпоредби и стимули за киберсигурност“ и е открита  публична консултация относно реформата в регулирането, поканвайки   заинтересованите страни да представят становища.

Преминаването към задължителен IoT стандарт вероятно е резултат от изследвания в индустрията, проведени от Министерството на промишлеността, науката, енергетиката и ресурсите и Министерството на вътрешните работи през март 2021 г. (шест месеца след публикуването на доброволния кодекс), които установиха, че доброволният, основан на принципите IoT,  Кодекс до голяма степен не успява да постигне целите си. Резултатите показват, че големите производители не са вземали решения въз основа на Кодекса, и са споделили за трудности при изпълнението на изискванията му. Те са изразили  предпочитания за спазване на международно съгласувани стандарти, докато по-дребните производители  също са заявили позиция на неангажиране поради финансови съображения .

Дискусионният документ препоръчва задължителен стандарт, който да гарантира базово ниво на киберсигурност за значителна част от нарастващия пазар на IoT устройства. При отправянето на тази препоръка той се основава на международните примери – Великобритания, Сингапур, Калифорния и Орегон в САЩ. Те са предвидили минимални функции относно киберсигурността, които производителите на такива устройства трябва да включват, като например използването на уникални пароли.

Цитираният документ  предлага Австралия да приеме международно признатия европейски стандарт ETSI EN 303 645, който очертава изходните изисквания за киберсигурност за потребителски IoT устройства.

Ако в Австралия се приеме задължителен стандарт, това ще изисква ново законодателство, а регулатор (ще бъде определен такъв) ще отговаря за образованието и за прилагането му. Очаква се производителите да имат малко по -високи производствени разходи. Търговците на дребно и на едро би трябвало да играят роля в осигуряването на спазването на стандартите за сигурност от техните доставчици, включително на онлайн пазарите. Докато онлайн пазарите сега доброволно премахват продукти, които не отговарят на австралийските стандарти за безопасност, дискусионният документ конкретно търси мнението им дали този подход би бил  също жизнеспособен по отношение на нов стандарт за киберсигурност.

Плътно свързана с проблема за IoT устройствата е „информационната асиметрия“ между производителите и потребителите. Потребителите не могат лесно да правят разлика между сигурни и несигурни устройства. За да се коригира тази асиметрия в информацията и за да се помогне за промяна на поведението на потребителите, се препоръчва да се приложи схема за етикетиране за IoT устройства в Австралия, под формата на доброволна оценка със звезда или задължително отбелязване на етикета на датата на изтичане на актуализациите за сигурност.

Доброволните оценки със звезди по същество осигуряват визуално представяне на нивото на киберсигурност, свързано с интелигентен продукт – за разлика от енергийните оценки за белите стоки. Такива схеми за IoT устройства вече присъстват в Сингапур и Финландия, докато Обединеното кралство е въвело „знак за доверие“ за производителите, които участват в схеми за доброволно гарантиране, а САЩ прилагат пилотна схема за класифициране на етикетирането за киберсигурност. От друга страна възможността за задължителен етикет с изтичане на срока на годност е нова – никоя друга страна в света не е наложила подобна практика. Тази опция има предимството, че не изисква независими тестове за сигурност и следователно ще струва по-малко на производителите отколкото етикета със звезда. Ако липсва подкрепа от индустрията за доброволен етикет със звезда, тогава документът препоръчва отбелязването на изтичането на срока  като предпочитан подход.

Формата на стандарта несъмнено ще бъде повлияна от отговорите на индустрията.

Австралийският опит представя как в една нова и сложна област като Интернет на нещата регулирането трябва да премине от саморегулиране към задължителни правила и закони въз основа на постоянно оценяване и дискусия с  всички заинтересовани страни.

Линк https://iottechnews.com/news/2021/jul/13/iot-rating-system-and-expiry-dates-proposed-by-australian-government/

 

Коментари

comments