Kibernetska (ne)varnost povezljivih naprav
Z varnostnim pregledom in penetracijskim testom na SIQ do zagotavljanja varnosti in zanesljivosti
Povezljivost naprav (IoT) je eden ključnih elementov sodobnega digitalnega ekosistema tako v vsakdanjem življenju kot tudi v poslovanju. Ko govorimo o pametnih domovih, povezljivih industrijskih sistemih ali uporabi v zdravstvu, postaja varnost teh naprav glavno in najpomembnejše vprašanje tako proizvajalcev kot tudi končnih uporabnikov. Razvoj kibernetske varnosti budno spremljajo in usmerjajo različne regulative, izvajanje varnostnih pregledov in penetracijskih testov na strani proizvajalcev pa je bistvenega pomena za zagotavljanje varnosti in zanesljivosti.
V zadnjih letih je Evropska unija doživela izjemno povečanje kibernetskih napadov, ki so ogrozili varnost in stabilnost digitalnega prostora. Od leta 2022 do danes je bilo zabeleženih več milijonov napadov na različne sektorje in organizacije. Posebej zaskrbljujoče je povečanje števila kibernetskih napadov, usmerjenih neposredno na povezljive naprave, ki so postale del našega vsakdanjega življenja in gospodarstva. Čeprav natančna statistika o številu napadov na povezljive naprave morda ni na voljo, pa je jasno, da te predstavljajo pomembno tarčo za kibernetske napadalce, saj lahko napadi nanje povzročijo škodo tako na individualni kot na sistemski ravni.
Proizvajalci bodo morali dokazovati skladnost s standardi
Prvi praktičen obramben korak na strani EU je bil dodatek 3.3 k obstoječi direktivi za radijsko opremo RED 2014/53/EU, ki postavlja zahteve za radijsko opremo, vključno s povezljivimi napravami. Medtem ko je bil prvotni poudarek te direktive na tehnični združljivosti in učinkovitosti radijskega spektra, je vedno bolj v ospredju tudi varnost. Nove zahteve direktive bodo stopile v veljavo predvidoma s 1. 8. 2025, ko bodo proizvajalci širokega spektra povezljive opreme postali primorani dokazovati skladnost tudi na področju kibernetske varnosti.
Proti koncu leta 2024 se pričakuje tudi potrditev Akta o kibernetski odpornosti (Cyber Resilience Act – CRA), ki bo še dodatno okrepil zahteve za varnost povezljivih naprav. Zahteval bo celovit pristop k varnosti v digitalnem prostoru, vključno z rednimi pregledi in testiranjem, da bi se zagotovila sistemska odpornost proti kibernetskim napadom.
Poglaviten izziv za celoten ekosistem je, kako zagotoviti skladnost in kateri so relevantni standardi. Regulativa namreč opisuje veliko aktivnosti in ciljev, ki bodo morali biti izpolnjeni, ne opredeljuje pa dejanskih metod in postopkov. Prav tako ni še veliko primerov dobrih praks niti jasnih navodil nacionalnih regulatorjev (primer FDA za medicinske naprave v Združenih državah Amerike). Na tehničnem nivoju bo potreben razvoj dodatnih standardov za pokritje različnih novih storitev in izdelkov (na primer spletne ali mobilne aplikacije).
Trenutno se uporabljajo obstoječi standardi, ki pokrivajo določene aspekte ali proizvode, a bodo ti v večji meri v bližnji prihodnosti nadgrajeni. Najdemo jih v različnih industrijah, vključno s potrošniško elektroniko, medicinsko tehnologijo in industrijsko avtomatizacijo.
Standardi
- Standard EN 303 645 se osredotoča na varnost povezljivih naprav v potrošniškem sektorju. Določa zahteve glede varnosti podatkov, varnosti komunikacijskih povezav in zagotavljanja zasebnosti uporabnikov.
- Standard ISA/IEC 62443 je namenjen varnosti industrijske avtomatizacije in nadzora. Vključuje celovit pristop k varnosti, ki zajema tako tehnične kot organizacijske vidike varnosti informacijskih sistemov.
- Standard IEC/EN 81000-5-1 se osredotoča na zahteve za varnost programske opreme v medicinskih napravah in je ključnega pomena za zagotavljanje procesov in izpolnjevanja osnovnih tehničnih zahtev varnosti. Standard predvideva tudi penetracijske teste na samih medicinskih napravah.
Penetracijski testi za učinkovito borbo proti grožnjam in sistemski pristop k upravljanju varnosti
Organizacija OWASP (Open Web Application Security Project) redno izdaja sezname najpogostejših ranljivosti v različnih digitalnih okoljih, vključno z internetom stvari (IoT). Njihov seznam OWASP IoT Top 10 identificira najbolj kritične ranljivosti, ki ogrožajo varnost povezljivih naprav in njihovih sistemov. Da bi se učinkovito borili proti tem grožnjam, je ključno izvajati ustrezne teste, ki odkrivajo in odpravljajo te ranljivosti.
Medtem ko je izvajanje varnostnih pregledov in penetracijskih testov pomembno za zagotavljanje varnosti povezljivih naprav, pa je na drugi strani pomembno tudi, da organizacije vzpostavijo celovite sisteme upravljanja informacijske varnosti. Med najbolj priznanimi je standard ISO 27001.
ISO 27001 zagotavlja okvir za vzpostavitev, izvajanje, vzdrževanje in stalno izboljševanje sistema upravljanja informacijske varnosti v organizaciji. Ta standard zajema širok spekter dejavnosti, vključno s politikami, postopki, varnostnimi ukrepi in upravljanjem tveganj, ki so bistveni za učinkovito zaščito informacijskih sredstev. S celovitim pristopom standard zajame celotno organizacijo, ne le IT oddelek. Koristi uvedbe imajo ljudje, tehnologija in procesi.
Kam se lahko obrnete po pomoč?
Na SIQ Ljubljana podjetjem in organizacijam nudimo celovite storitve na področju informacijske varnosti, s katerimi vam pomagamo zagotoviti najvišjo raven varnosti vašega poslovanja. Od običajnih penetracijskih testov do testov IoT naprav ter varnostnih in revizijskih pregledov, certificiranja sistemov vodenja informacijske varnosti in usposabljanja zaposlenih.
Varnostni pregledi, penetracijski testi in drugi varnostni postopki so pomembni koraki pri doseganju skladnosti z zakonskimi zahtevami in zagotavljanju trajne odpornosti proti kibernetskim grožnjam. Rezultat celovitega pristopa je zagotavljanje neprekinjenega poslovanja, ki je danes ključnega pomena za ohranjanje ugleda in zaupanja.