Кибербезопасность умного дома вызывает все большую озабоченность, поскольку на рынке появляется все больше устройств Интернета вещей. Теперь Европейский союз хочет возложить на производителей устройств юридическое обязательство обеспечивать защиту своих продуктов от хакеров и обновлять их по мере необходимости, чтобы сохранить их такими…
Главное
Apple разработала стандарт HomeKit с двумя целями. Во-первых, упростить управление умными домашними устройствами, чтобы все делалось через одно приложение. Во-вторых, чтобы ваш умный дом был защищен от кибератак.
В HomeKit зашифрованные ключи используются для идентификации устройств, и когда (например) ваш iPhone отправляет команду разблокировки на ваш интеллектуальный дверной замок, iPhone проверит подлинность замка, а замок подтвердит личность вашего iPhone.
Чтобы установить связь между устройством iOS, iPadOS и macOS и аксессуаром HomeKit, ключи обмениваются с использованием протокола Secure Remote Password (3072-бит) с использованием восьмизначного кода, предоставленного производителем аксессуара, введенного на устройстве iOS или iPadOS пользователем. пользователя, а затем зашифрованы с помощью ChaCha20-Poly1305 AEAD с ключами, производными от HKDF-SHA512. Сертификация MFi аксессуара также проверяется во время установки. Аксессуары без чипа MFi могут иметь встроенную поддержку проверки подлинности программного обеспечения в iOS 11.3 или более поздней версии.
Когда устройство iOS, iPadOS и macOS и аксессуар HomeKit обмениваются данными во время использования, каждое из них аутентифицирует другое с помощью ключей, которыми обмениваются в описанном выше процессе.
Однако даже HomeKit может быть уязвимым, что было продемонстрировано нам еще в 2017 году, когда исследователь безопасности смог удаленно управлять умными замками и другими устройствами. (Apple исправила ошибку после нашего сообщения.)
Предлагаемый закон о кибербезопасности умного дома
Как отмечает TechCrunch, Европейский Союз предложил закон, гарантирующий, что все устройства умного дома соответствуют требованиям кибербезопасности.
Предлагаемый Закон ЕС о киберустойчивости введет обязательные требования кибербезопасности для продуктов, которые имеют «цифровые элементы», продаваемые по всему блоку. […]
В проекте постановления также основное внимание уделяется тому, чтобы производители интеллектуальных устройств сообщали потребителям «достаточную и точную информацию», чтобы покупатели могли понять соображения безопасности в момент покупки и безопасно настроить устройства после покупки.
Штрафы, предложенные Комиссией за несоблюдение «основных» требований кибербезопасности, увеличиваются до 15 миллионов евро или 2,5% мирового годового оборота в зависимости от того, что выше, а за другие нарушения нормативных обязательств предусмотрены максимальные санкции в размере 10 миллионов евро или 2% оборота.
Производители должны будут не только обеспечить безопасность своих устройств при запуске, но также должны будут предоставлять обновления безопасности, необходимые для полного жизненного цикла продукта.
ЕС обеспокоен более широкими угрозами, помимо безопасности жилых домов.
С ростом количества интеллектуальных и подключенных продуктов инцидент кибербезопасности в одном продукте может повлиять на всю цепочку поставок, что может привести к серьезному нарушению экономической и социальной деятельности на внутреннем рынке, подрыву безопасности или даже стать опасным для жизни.
Организация считает, что ее закон может быть воспроизведен по всему миру.
В то время как другие юрисдикции по всему миру занимаются решением этих проблем, Закон о киберустойчивости, вероятно, станет международным ориентиром, выходящим за рамки внутреннего рынка ЕС. Стандарты ЕС, основанные на Законе о киберустойчивости, облегчат его реализацию и станут активом для индустрии кибербезопасности ЕС на мировых рынках.
Фото: Трон Ле/Unsplash
