Kaspersky Lab łączy siły z liderami branży w celu opracowania praktycznych wskazówek technicznych dla różnych podmiotów związanych z Internetem Rzeczy
Wraz z członkami konsorcjum Industrial Internet Consortium (IIC) eksperci z Kaspersky Lab opracowali przewodnik po modelu dojrzałości bezpieczeństwa dla praktyków (Security Maturity Model – SMM). Pomaga on podmiotom z branży związanej z Internetem Rzeczy (IoT) określić poziom dojrzałości ochrony, jaki muszą osiągnąć na podstawie założonych celów dotyczących bezpieczeństwa oraz zdefiniowanego przez siebie modelu ryzyka.
Model SMM opiera się na koncepcjach zidentyfikowanych w dokumencie opublikowanym w 2016 r., poświęconym podstawom bezpieczeństwa Internetu Przemysłowego IIC (IIC Industrial Internet Security Framework). Jest pierwszym tego typu modelem przygotowanym z myślą o nowym podejściu do Internetu Rzeczy w aspekcie dojrzałości bezpieczeństwa. SMM przedstawia ramy bezpieczeństwa dla podmiotów związanych z branżą IoT na podstawie poziomu ich zabezpieczeń i ocenia dojrzałość systemów IoT organizacji, analizując ład korporacyjny, technologię oraz zarządzanie systemami. Inne modele odnoszą się do konkretnej branży, np. Internetu Rzeczy, ale nie uwzględniają bezpieczeństwa, lub dotyczą samych zagadnień ochrony, ale nie Internetu Rzeczy. SMM obejmuje wszystkie te aspekty i wskazuje na elementy istniejących już modeli, aby zwrócić uwagę na to, co zostało już zrealizowane, i uniknąć powielania pracy.
Wskazówki zostały przygotowane z myślą o różnych podmiotach związanych z branżą IoT. Nacisk na zwiększenie bezpieczeństwa infrastruktury, która łączy systemy informacyjne z obiektami fizycznymi, kładą nie tylko eksperci ds. bezpieczeństwa, ale również operatorzy obiektów przemysłowych, twórcy oprogramowania o specjalnym przeznaczeniu, właściciele określonych firm oraz organy regulacyjne. Dlatego IoT SMM, w przeciwieństwie do typowych standardów i wymogów regulacyjnych, bierze pod uwagę interesy i potrzeby w zakresie bezpieczeństwa wszystkich organizacji oraz osób uczestniczących w operacjach IoT i zarządzających nimi.
Ponadto przewodnik dla praktyka prezentuje studia przypadków, które pomagają w stosowaniu modelu SMM przez podmioty związane z branżą IoT. Dotyczą one inteligentnej, opartej na analizie danych linii rozlewniczej, bramy internetowej obejmującej uaktualnienia zdalne oraz kamer bezpieczeństwa wykorzystywanych w osiedlach mieszkaniowych.
Przewodnik ten pomaga podmiotom związanym z Internetem Rzeczy zrozumieć, na jakim etapie znajdują się obecnie oraz jaki jest ich cel, jak również jakie działania należy podjąć, aby osiągnąć założenia. Po przeprowadzeniu ocen organizacje mogą z biegiem czasu poprawić swój stan bezpieczeństwa, tak aby spełniał wymagany poziom, dokonując ciągłych ocen swojego systemu Internetu Rzeczy oraz wprowadzając usprawnienia w oparciu o 36 wymienionych parametrów.
Priorytetyzacja środków bezpieczeństwa, ustanawianie celów oraz formułowanie strategii umożliwiającej zapewnienie “wystarczająco bezpiecznego” systemu to cel, który ma wpływ na wiele aspektów, w tym długoterminowe planowanie ekonomiczne organizacji, inwestycje i wybór modelu ubezpieczeniowego. Współczesne podejście do takich zadań obejmuje wykorzystanie tzw. “zachęty” – stworzenie architektury wyboru wspomagającej skuteczne podejmowanie decyzji w danym obszarze. IoT SMM stanowi ramy dla takiej architektury wyboru w dziedzinie bezpieczeństwa informacyjnego Internetu Rzeczy. Umożliwia podmiotom wykonanie pierwszego kroku (a potem kolejnych) w kierunku bezpiecznego systemu, niezależnie od tego, czy mamy do czynienia z dużym zakładem produkcyjnym, czy bransoletką fitnessową – powiedziała Ekaterina Rudina, starsza analityczka systemów, Kaspersky Lab ICS CERT.
Grupa ekspertów pracowała nad projektem przez niemal dwa lata: na początku 2017 r. zespół Security Applicability, który zajmuje się głównie stosowaniem praktyk bezpieczeństwa w realnych aplikacjach Internetu Rzeczy w IIC, przystąpił do badania modelu dojrzałości. Przewodnik dla praktyka SMM stanowi uzupełnienie dokumentu IoT SMM: Description and Intended Use White Paper, który został opublikowany w 2018 r.
Pełny tekst przewodnika po modelu SMM dla praktyka (Security Maturity Model Practitioner’s Guide) jest dostępny na stronie https://www.iiconsortium.org/pdf/IoT_SMM_Practitioner_Guide_2019-02-25.pdf.