Агентство Европейского союза по сетям и информационной безопасности (ENISA) опубликовало рекомендации по обеспечению безопасности IoT-устройств в контексте объектов критической инфраструктуры.
Свой вклад в создание этого документа внесли и наши эксперты. Но нравится нам этот документ не только поэтому.
Дело в том, что в сфере промышленной кибербезопасности есть ряд проблем, которые год из года обсуждаются на тематической ежегодной конференции. И одна из них — отсутствие единых стандартов обеспечения кибербезопасности промышленных предприятий. В том числе и стандартов безопасности индустриальных IoT-устройств. Разумеется, рекомендации ENISA — это еще не стандарты, но это серьезный шаг в сторону унификации практик и политик безопасности.
Целевая аудитория этого документа — не только создатели и пользователи промышленных IoT-устройств, но и разнообразные агентства Евросоюза, разрабатывающие политики безопасности. Так что по сути, однажды эти рекомендации лягут в основу стандартов. Вклад экспертов «Лаборатории Касперского», работавших в рамках группы IoTSEC (ENISA IoT Security Experts Group), заключается как раз в добавлении ряда рекомендаций для тех, кто занимается разработкой унифицированных политик безопасности.
Отчет пытается консолидировать знания отрасли по промышленной кибербезопасности, показать модель угроз промышленного интернета вещей, а также описать доступные меры, которые могут от этих угроз защитить. С практической точки зрения особенно интересен раздел Annex A: Detailed Security measures / Good practices, описывающий реально работающие процедуры. Полный текст документа Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures можно найти на сайте ENISA.