Kdo má prosadit pravidla pro internet věcí?

17. 2. 2020

Sdílet

 Autor: Adobe Stock
Společnosti a státní složky se již nějaký čas snaží přijít s pravidly pro větší bezpečnost internetu věcí. Nikdo však zatím nepřišel s komplexním řešením.

Internet věcí je velmi snadné napadnout a případné důsledky mohou být katastrofální. To si žádá zásah zákonodárců a regulátorů, kdo se k tomu hodí nejlépe?

Výrobci i vlády jsou si vědomi bezpečnostních rizik, zatím však nepřišli s žádnými standardizovanými postupy, které by problém vyřešily.

„Hlavním problémem tohoto trhu je, že se vyvíjí takovou rychlostí, s jakou žádné regulace nedovedou držet krok,“ řekl Merritt Maxim viceprezident a ředitel výzkumu Forrester Research. „Předpisy, které jsou užitečné a snadné na implementaci, velmi rychle zastarají.“

Britský státní orgán navrhl tři pravidla, která se zaobírají hlavními problémy v bezpečnosti internetu věcí:

  • Všechna zařízení budou mít jedinečná hesla, restart do továrního bude zakázán
  • Výrobci musí zveřejnit všechny bezpečnostní rizika a slabiny
  • Výrobci musí „Oznámit přesnou minimální dobu, po kterou budou zařízení dostávat bezpečnostní aktualizace“

 

Tento návrh se inspiroval kalifornským zákonem z minulého měsíce. Obě sady pravidel budou pravděpodobně mít dalekosáhlý dopad na výrobu a vývoj zařízení internetu věcí, přestože platí jen na omezeném území. Je to kvůli tomu, že výrobci neradi produkují dvě varianty zařízení pro.

Nařízení pro internet věcí nejsou jediná, co mají dopad na vývoj trhu. Podle toho, k jakým datům má zařízení přístup, se na něj mohou vztahovat různé zákony o ochraně soukromí, například GDPR.

Úřad pro kontrolu potravin a léčiv ve Spojených státech byl poslední dobou velmi aktivní, co se týče bezpečnosti zařízení. Za poslední rok vydal 11 varování o bezpečnostních chybách u zdravotnických přístrojů od prodejce Armis.

Podle Maxima jsou však větší komplikace s určením obecných pravidel než těch, které se zabývají konkrétním problémem.

Jednotlivé společnosti mohou aplikovat jen pravidla pro své konkrétní odvětví, taková ochrana je však nedostatečná v praxi, kde se setkávají výrobky všech značek.

Nejblíže obecné bezpečnosti se blíží bezpečnostní normy od Underwriters Laboratories (UL), známé neziskové bezpečnostní firmy proslavené především pro své stoleté předpisy pro elektrickou síť. Jejich certifikační systém se skládá z pěti stupňů – bronz, stříbro, zlato, platina a diamant.

Bronz označuje zařízení, která řeší většinu známých hrozeb. Vyšší stupně označují zařízení, která řeší dlouhodobou ochranu, bezpečnější přístup atd.

ICTS24

Přestože nová pravidla řeší budoucí vývoj zařízení, neřeší dva hlavní problémy internetu věcí. Zaprvé, že miliony nezabezpečených zařízení jsou již na trhu, a zadruhé, uživatelé nedělají nic pro to, aby bezpečnost svých systému zlepšili.

„Je dobré, že si uživatelé musí zvolit své vlastní heslo, to jim však nebrání ve vybrání slabého hesla,“ zakončuje Maxim. „Jsou uživatelé ochotni si připlatit za zařízení s bezpečnostní certifikací? A mají o bezpečnost vůbec zájem?“