Jak osiągnąć bezpieczeństwo w systemie urządzeń połączonych – wizualizacja procesu

Istnieje wiele funkcjonalności w obszarze cyfrowego bezpieczeństwa, które stały się obowiązkowymi dla wszystkich urządzeń IoT sprzedawanych w Europie. Należy do nich m.in. uwierzytelnianie, kontrola dostępu, kryptografia, bezpieczne aktualizacje i wzmacnianie. IW celu ich efektywnego wdrożenia należy wybrać odpowiedni sprzęt i komponenty oprogramowania wolne od luk w zabezpieczeniach. Kluczowe znaczenie ma również doświadczony zespół projektowy, którego członkowie mogą się wykazać kompletną wiedzą specjalistyczną. Przyjęta strategia bezpieczeństwa i wynikające z niej umiejętności zależą od zamierzonego zastosowania urządzenia i doboru komponentów.

“Myślenie nieszablonowe pomaga utrzymać wyższy poziom spójności w zakresie bezpieczeństwa Twoich urządzeń,” mówi Tomasz Śleboda, Software Specialist. "Dobrym sposobem na nieszablonowe myślenie jest rozpoczęcie tworzenia infrastruktury bezpieczeństwa IoT od oceny zagrożenia i ryzyka. Takie podejście pomaga określić, dlaczego i w jaki sposób hakerzy mogą potencjalnie uzyskać dostęp do urządzenia. Stąd już prosta droga do wypracowania metod zapobiegających działaniu internetowych przestępców.” Nie ulega wątpliwości, że bezpieczeństwo należy traktować jako główne wyzwanie dla systemów rozproszonych. Istnieje pokaźna ilość metod działania odnoszących się do tego problemu. Wiele komercyjnych i wbudowanych systemów operacyjnych typu open source wykazuje zgodność z niezawodnymi standardami, do których należy m.in. certyfikacja Międzynarodowej Komisji Elektrotechnicznej (IEC). 

Certyfikaty tej organizacji to jeden ze sposobów podejścia do bezpieczeństwa i międzynarodowych standardów.

Podejmowanie działań w celu zabezpieczenia połączonych urządzeń już dawno przestało być dobrowolne, lecz wynika z konieczności działania w interesie wszystkich użytkowników sieci. Etteplan od kilku lat śledzi zmiany regulacyjne związane z cyberbezpieczeństwem i projektuje oprogramowanie i urządzenia zgodnie z zasadami bezpiecznego projektowania systemów IoT. Poniżej zamieszczamy opis niektórych z najnowszych dodatków regulacyjnych, które opisuje dyrektor ds. sprzedaży oprogramowania i rozwiązań wbudowanych, Antti Tolvanen wyjaśnia poniżej. 

Z dniem 1 sierpnia 2024 r. wszystkie deklaracje zgodności bezprzewodowych urządzeń IoT z aktami delegowanymi RED 3(3) def muszą zostać odnowione, pod rygorem delegalizacji sprzedaży na terenie Unii Europejskiej.

Dyrektywa NIS2 wprowadzi do końca 2024 roku systemy zarządzania bezpieczeństwem informacji wraz z procedurami bezpiecznego rozwoju. Pozostaną one obowiązkowe dla wszystkich dystrybutorów, producentów i ich bezpośrednich dostawców, co nie obędzie się bez wpływu na łańcuchy dostaw. W przypadku dostawców usług cyfrowych  (np. projektantów oprogramowania IoT), dyrektywa NIS2 będzie obowiązywać wraz z aktem wykonawczym zawierającym bardziej szczegółowe wymagania dotyczące bezpieczeństwa.

Wchodząca w 2026 roku ustawa o odporności cybernetycznej (Cyber Resilience Act) sprawi, że cyberbezpieczeństwo stanie się obowiązkowym elementem oznakowania CE dla wszystkich produktów z elementami cyfrowymi (wszystkie urządzenia elektroniczne, oprogramowanie oraz wiele komponentów oprogramowania i sprzętu). W 2025 roku wprowadzony zostanie obowiązek zgłaszania incydentów dotyczących bezpieczeństwa nie tylko wobec nowych, lecz także wszystkich starych produktów. Należy zauważyć, że w przypadku produktów krytycznych, które obejmują urządzenia takie jak routery, akcesoria IoT, roboty i inteligentne liczniki, wymagana będzie ocena zgodności realizowana przez strony trzecie.

Samoocena producenta będzie możliwa w przypadku wyrobów nieposiadających newralgicznych dla bezpieczeństwa funkcjonalności. Warto zauważyć, że  do niedawno opublikowanego wniosku dotyczącego dyrektywy o odpowiedzialności UE dołączono poszerzony zakres odpowiedzialności producentów urządzeń i oprogramowania. Zakres ten obejmie również medycznie udowodnione szkody psychologiczne, wynikające z niezgodności z przepisami dotyczącymi cyberbezpieczeństwa.

W Stanach Zjednoczonych obowiązuje rozporządzenie wykonawcze 14028. Memorandum Urzędu ds. Zarządzania i Budżetowania daje dostawcom oprogramowania i producentom urządzeń 270 dni na potwierdzenie zgodności z wytycznymi NIS2. Przepisy dotyczące zamówień rządowych w Stanach Zjednoczonych również są poddawane aktualizacjom – CISA wkrótce opublikuje wiążące dyrektywy operacyjne dla USA. Jeśli chodzi o infrastrukturę krytyczną i bezpieczeństwo cybernetyczne, zarówno rynki UE, jak i USA będą uregulowane horyzontalnie. Oznacza to, że będą dotyczyć wszystkich sektorów działalności gospodarczej. 

Do najważniejszych aspektów dla systemów wbudowanych możemy zaliczyć bezpieczne uruchamianie i  aktualizacje, które są przeznaczone tylko dla uwierzytelnionego oprogramowania. Jedną z najważniejszych decyzji dotyczących architektury bezpieczeństwa jest wybór krytycznych komponentów sprzętowych obsługujących wszystkie pożądane funkcje.

Różne urządzenia wymagają różnych poziomów ochrony. Linux i Zephyr należą do systemów operacyjnych, które można traktować za referencyjne, aby sprostać  wymaganiom branżowym. Bardzo korzystne staje się wybranie systemu operacyjnego, który nie tylko zapewnia bezproblemową obsługę rozmaitych funkcji bezpieczeństwa, lecz także jest obsługiwany przez szerszą społeczność.

Z punktu widzenia docelowej aplikacji, proaktywne działanie i konsekwentne aktualizacje zabezpieczeń to najlepszy sposób na uniknięcie ryzyka. Regularne zestawianie parametrów oprogramowania zintegrowanego z danym urządzeniem z publicznie znanymi lukami w zabezpieczeniach staje się wymogiem prawnym. Zmiana haseł, uwierzytelnianie wieloskładnikowe, ograniczony czas dostępu i poziomy dostępu oparte na rolach to jedne z najważniejszych funkcji, jakich możesz użyć, aby osiągnąć odpowiedni poziom bezpieczeństwa.

Autor

Tomasz Śleboda, Software Specialist