Kibernetska (ne)varnost povezljivih naprav

Povezljivost naprav (IoT) je eden ključnih elementov sodobnega digitalnega ekosistema tako v vsakdanjem življenju kot tudi v poslovanju. Ko govorimo o pametnih domovih, povezljivih industrijskih sistemih ali uporabi v zdravstvu, postaja varnost teh naprav glavno in najpomembnejše vprašanje tako proizvajalcev kot tudi končnih uporabnikov. Razvoj kibernetske varnosti budno spremljajo in usmerjajo različne regulative, izvajanje varnostnih pregledov in penetracijskih testov proizvajalcev pa je bistvenega pomena za zagotavljanje varnosti in zanesljivosti.

V zadnjih letih je Evropska unija doživela izjemno povečanje kibernetskih napadov, ki so ogrozili varnost in stabilnost digitalnega prostora. Od leta 2022 do danes je bilo zabeleženih več milijonov napadov na različne sektorje in organizacije. Posebej skrb vzbujajoče je povečanje števila kibernetskih napadov, usmerjenih neposredno na povezljive naprave, ki so postale del našega vsakdanjega življenja in gospodarstva. Čeprav natančna statistika o številu napadov na povezljive naprave morda ni na voljo, pa je jasno, da so te pomembna tarča za kibernetske napadalce, saj lahko napadi nanje povzročijo škodo tako na individualni kot na sistemski ravni.

Proizvajalci bodo morali dokazovati skladnost s standardi

Prvi praktični obrambni korak EU je bil dodatek 3.3 k obstoječi direktivi za radijsko opremo RED 2014/53/EU, ki postavlja zahteve za radijsko opremo, vključno s povezljivimi napravami. Medtem ko je bil prvotni poudarek te direktive na tehnični združljivosti in učinkovitosti radijskega spektra, je vedno bolj v ospredju tudi varnost. Nove zahteve direktive bodo začele veljati predvidoma 1. 8. 2025, ko bodo proizvajalci širokega spektra povezljive opreme morali dokazovati skladnost tudi na področju kibernetske varnosti.

Proti koncu leta 2024 se pričakuje tudi potrditev Akta o kibernetski odpornosti (Cyber Resilience Act – CRA), ki bo še dodatno okrepil zahteve po varnosti povezljivih naprav. Zahteval bo celovit pristop k varnosti v digitalnem prostoru, vključno z rednimi pregledi in testiranjem, da bi se zagotovila sistemska odpornost proti kibernetskim napadom.

Poglaviten izziv za celoten ekosistem je, kako zagotoviti skladnost in kateri so relevantni standardi. Regulativa namreč opisuje veliko aktivnosti in ciljev, ki bodo morali biti izpolnjeni, ne opredeljuje pa dejanskih metod in postopkov. Prav tako ni še veliko primerov dobrih praks niti jasnih navodil nacionalnih regulatorjev (primer FDA za medicinske naprave v Združenih državah Amerike). Na tehničnem nivoju bo potreben razvoj dodatnih standardov za pokritje različnih novih storitev in izdelkov (na primer spletne ali mobilne aplikacije).

Trenutno se uporabljajo obstoječi standardi, ki pokrivajo določene aspekte ali proizvode, a bodo večinoma v bližnji prihodnosti nadgrajeni. Najdemo jih v različnih industrijah, vključno s potrošniško elektroniko, medicinsko tehnologijo in industrijsko avtomatizacijo.

Penetracijski testi za učinkovit boj proti grožnjam in sistemski pristop k upravljanju varnosti

Organizacija OWASP (Open Web Application Security Project) redno izdaja sezname najpogostejših ranljivosti v različnih digitalnih okoljih, vključno z internetom stvari (IoT). Njihov seznam OWASP IoT Top 10 identificira najbolj kritične ranljivosti, ki ogrožajo varnost povezljivih naprav in njihovih sistemov. Da bi se učinkovito borili proti tem grožnjam, je ključno izvajati ustrezne teste, ki odkrivajo in odpravljajo ranljivosti.

Medtem ko je izvajanje varnostnih pregledov in penetracijskih testov pomembno za zagotavljanje varnosti povezljivih naprav, pa je na drugi strani pomembno tudi, da organizacije vzpostavijo celovite sisteme upravljanja informacijske varnosti. Med najbolj priznanimi je standard ISO 27001.

ISO 27001 zagotavlja okvir za vzpostavitev, izvajanje, vzdrževanje in stalno izboljševanje sistema upravljanja informacijske varnosti v organizaciji. Ta standard zajema širok spekter dejavnosti, vključno s politikami, postopki, varnostnimi ukrepi in upravljanjem tveganj, ki so bistveni za učinkovito zaščito informacijskih sredstev. S celovitim pristopom standard zajame celotno organizacijo, ne le IT-oddelek. Koristi uvedbe imajo ljudje, tehnologija in procesi.

Kam se lahko obrnete po pomoč

Na SIQ Ljubljana podjetjem in organizacijam ponujajo celovite storitve na področju informacijske varnosti, s katerimi vam pomagajo zagotoviti najvišjo raven varnosti poslovanja. Od običajnih penetracijskih testov do testov naprav IoT ter varnostnih in revizijskih pregledov, certificiranja sistemov vodenja informacijske varnosti in usposabljanja zaposlenih.

Varnostni pregledi, penetracijski testi in drugi varnostni postopki so pomembni koraki pri doseganju skladnosti z zakonskimi zahtevami in zagotavljanju trajne odpornosti proti kibernetskim grožnjam. Rezultat celovitega pristopa je zagotavljanje neprekinjenega poslovanja, ki je danes ključnega pomena za ohranjanje ugleda in zaupanja.

Za več informacij obiščite spletno stran SIQ.

---

Naročnik oglasne vsebine je SIQ