Kibernetička (ne)sigurnost Internet stvari

Detalji

Kreirano Četvrtak, 14 Studeni 2024 09:39

Hitovi: 646

Sa sigurnosnim pregledom i penetracijskim testom u SIQ-u do  osiguranje sigurnosti i pouzdanosti. Internet stvari (IoT) jedan je od ključnih elemenata modernog digitalnog ekosustava, kako u svakodnevnom životu tako i u poslovanju.

Kada govorimo o pametnim kućama, povezanim industrijskim sustavima ili upotrebi u zdravstvu, sigurnost ovih uređaja postaje glavno i najvažnije pitanje kako za proizvođače tako i za krajnje korisnike. Razvoj kibernetičke sigurnosti pomno se prati i usmjerava različitim regulativama, a provođenje sigurnosnih pregleda i penetracijskih testova od strane proizvođača ključno je za osiguranje sigurnosti i pouzdanosti.

Posljednjih godina Europska unija doživjela je izniman porast kibernetičkih napada koji su ugrozili sigurnost i stabilnost digitalnog prostora. Od 2022. do danas zabilježeno je nekoliko milijuna napada na različite sektore i organizacije. Posebno zabrinjava povećanje broja kibernetičkih napada usmjerenih izravno na povezane uređaje koji su postali dio našeg svakodnevnog života i gospodarstva. Iako točna statistika o broju napada na spojive uređaje možda nije dostupna, jasno je da su oni važna meta za kibernetičke napadače, jer napadi na njih mogu prouzročiti štetu kako na individualnoj tako i na razini sustava.

Proizvođači će morati dokazati usklađenost sa standardima
Prvi praktični obrambeni korak EU-a bio je bio dodatak 3.3 postojeće Direktive o radijskoj opremi RED 2014/53/EU, koji postavlja zahtjeve za radijsku opremu, uključujući uređaje koji se mogu povezati. Iako je izvorni fokus ove direktive bio na tehničkoj kompatibilnosti i učinkovitosti radio frekvencijskog spektra, sigurnost je također sve više u prvom planu. Novi zahtjevi direktive stupaju na snagu 1. kolovoza 2025. kada će proizvođači širokog spektra povezane opreme morati dokazati usklađenost u području kibernetičke sigurnosti.

Potkraj 2024. očekuje se i odobrenje  Akta o  kibernetičkoj  otpornosti (Cyber Resilience Act CRA) koji će dodatno ojačati zahtjeve za sigurnost povezanih uređaja. Zahtijevat će se  sveobuhvatan pristup sigurnosti u digitalnom prostoru, uključujući redovite preglede i testiranja kako bi se osigurala otpornost sustava na kibernetičke napade.

Glavni izazov za cijeli ekosustav je kako osigurati usklađenost i koji su relevantni standardi. Uredba opisuje mnoge aktivnosti i ciljeve koji će se morati ispuniti, ali ne definira stvarne metode i postupke. Također, još uvijek nema mnogo primjera dobre prakse niti jasnih uputa nacionalnih regulatora (npr. FDA za medicinske uređaje u Sjedinjenim Američkim Državama). Na tehničkoj razini bit će potrebno razviti dodatne standarde koji će pokriti različite nove usluge i proizvode (na primjer, web ili mobilne aplikacije).

Trenutačno se koriste postojeći standardi koji pokrivaju određene aspekte ili proizvode, no većina njih će biti nadograđena u bliskoj budućnosti. Nalazimo ih u  raznim industrijama, uključujući potrošačku elektroniku, medicinsku tehnologiju i industrijsku automatizaciju.

Norma EN 303 645 fokusirana je na sigurnost spojivih uređaja u potrošačkom sektoru. Postavlja zahtjeve za sigurnost podataka, sigurnost komunikacijskih veza i jamči privatnost korisnika.

Norma ISA/IEC 62443 posvećena je sigurnosti industrijske automatizacije i upravljanja. Uključuje sveobuhvatan pristup sigurnosti, pokrivajući tehničke i organizacijske aspekte sigurnosti informacijskih sustava.

Norma IEC/EN 81000-5-1 usredotočena je na sigurnosne zahtjeve softvera u medicinskim uređajima i ključna je za osiguravanje procesa i ispunjavanje osnovnih tehničkih sigurnosnih zahtjeva. Norma također predviđa penetracijske testove na samim medicinskim uređajima.

Penetracijski testovi za učinkovitu borbu protiv prijetnji i sustavni pristup upravljanju sigurnošću
Organizacija Open Web Application Security Project (OWASP) redovito objavljuje popise najčešćih ranjivosti u različitim digitalnim okruženjima, uključujući Internet of Things (IoT). Njihov popis OWASP IoT Top 10 identificira najkritičnije ranjivosti koje prijete sigurnosti povezanih uređaja i njihovih sustava. Kako bi se učinkovito borili protiv ovih prijetnji, ključno je provesti odgovarajuće testove koji otkrivaju i popravljaju ranjivosti.
Iako je provođenje sigurnosnih pregleda i penetracijskih testova važno za osiguranje sigurnosti povezanih uređaja, također je važno za organizacije uspostaviti sveobuhvatne sustave upravljanja sigurnošću informacija. Među najpriznatijima je standard ISO 27001.

ISO 27001 pruža okvir za uspostavljanje, implementaciju, održavanje i kontinuirano poboljšanje sustava upravljanja informacijskom sigurnošću organizacije. Ova norma pokriva širok raspon aktivnosti, uključujući politike, procedure, sigurnosne mjere i upravljanje rizikom, koje su ključne za učinkovitu zaštitu informacijske imovine. Sveobuhvatnim pristupom standard pokriva cijelu organizaciju, a ne samo IT odjel. Implementacija koristi ljudima, tehnologiji i procesima.

Kome se možete obratiti za pomoć?
SIQ Ljubljana tvrtkama i organizacijama nudi sveobuhvatne usluge na području informacijske sigurnosti, koje vam pomažu osigurati najvišu razinu poslovne sigurnosti. Od konvencionalnih penetracijskih testova do testiranja IoT uređaja i sigurnosnih i revizijskih pregleda, certifikacije sustava upravljanja sigurnošću informacija i obuke zaposlenika.

Sigurnosni pregledi, penetracijski testovi i drugi sigurnosni postupci važni su koraci u postizanju usklađenosti sa zakonskim zahtjevima i osiguravanju trajne otpornosti na kibernetičke prijetnje. Rezultat cjelovitog pristupa je osiguranje kontinuiteta poslovanja, što je danas ključno za očuvanje ugleda i povjerenja.
Za više informacija posjetite web stranicu SIQ-a.

Izvor:SIQ