Правительство США разрабатывает рекомендации по обеспечению безопасности встраиваемых систем

IoT Embedded
, Текст: Любовь Касьянова
Федеральная торговая комиссия США объявила, что производители устройств на базе встраиваемых систем могут столкнуться с судебным преследованием, если не озаботятся безопасностью персональных данных своих пользователей.

Американские производители потребительской электроники на базе микропроцессоров и встраиваемого ПО (так называемых «умных устройств») должны принять меры по защите персональных данных пользователей, иначе государство обратится в суд. Об этом сообщила юридический представитель ФТК США Лаура Бергер (Laura Berger), выступая на секции «Умные устройства» промышленной конференции RSA Conference, прошедшей в Сан-Франциско, США.

Юрист ФТК заявила: «Компании должны принимать во внимание возможные последствия функциональности устройства. Даже если производители не хранят данные, которые устройство собирает или обрабатывает, это вовсе не значит, что они не ставят потребителей под угрозу». Видеокамеры, мобильные телефоны, медицинские устройства и «умная» бытовая техника, подключенная к интернету, подвергают американского пользователя риску, потому что производители зачастую пренебрегают защитой данных, считают в ФТК.

Чтобы убедить бизнес быть более внимательным к безопасности, Торговая комиссия начала инициировать судебные иски против особо халатных в этом отношении производителей «умной техники». Так, 4 сентября 2013 г. под суд попала компания TRENDnet, занимающаяся производством видеокамер реального времени SecurView IP. Хакеры опубликовали в интернете описание уязвимости, которая позволяла публично транслировать приватное видео примерно с 700 камер SecurView.

ФТК США обвинила компанию в халатности и предоставлении заведомо ложных сведений о безопасности своих камер. Суд удовлетворил претензии комиссии, обязав TRENDnet оповестить клиентов об уязвимости, предоставлять бесплатную техподдержку в течение двух лет и проводить независимые проверки безопасности камер в течение следующих 20 лет.

После первой «показательной порки» комиссия открыла публичное обсуждение вопроса. В ноябре 2013 г. прошел открытый семинар с участием представителей индустрии, бизнеса, академических кругов и обществ защиты прав потребителей, где обсуждались последние достижения в области безопасности «интернета вещей».

В ходе семинара ФТК объявила, что к весне 2014 г. выпустит официальные рекомендации по защите персональных данных для «умных устройств». В конце этой зимы, 26 февраля, в Вашингтоне прошел «круглый стол», на котором комиссия представила примерное содержание этих рекомендаций.

Джулия Брилл (Julie Brill), комиссар Федеральной торговой комиссии, выступила в Центре по разработке политик для развивающихся технологий с докладом, в котором обозначила три основных направления защиты персональных данных. Во-первых, производителям следует принять концепцию «приватности архитектуры» (privacy by design), то есть максимальной защищенности от утечек. «Поскольку многие устройства, подключенные к интернету, имеют минимальный пользовательский интерфейс или не имеют его вообще, компаниям крайне важно продвигать идею пользовательской приватности в своих продуктах и среди своих сотрудников», – заявила она.

Другая полезная практика защиты – деиндентификация персональных данных внутри «интернета вещей». Производитель должен делать все возможное для того, чтобы данные невозможно было связать с конкретным пользователем. Это включает в себя как технические ограничения, так и соглашения между бизнесом и обществом о добровольном отказе от «деанонимизации» данных.

Наконец, разработчикам встраиваемого ПО следует обеспечить максимальную прозрачность сбора данных. «Комиссия рекомендует принять меры для повышения прозрачности, включая более краткие, доступные и стандартизированные оповещения (в том числе машиночитаемые), позволяющие пользователям понять, какие данные собирают и передают их новые устройства», – заявила представительница ФТК.

Она отметила, что ряд компаний предлагает разработать принципиально новые способы уведомления, например «визуальные, аудиальные и тактильные», в зависимости от конкретного устройства. Еще одно предложение – создавать приложения и порталы, предоставляющие пользователю подробный обзор данных, которые его устройства собирают и раскрывают.

Первый принцип, озвученный Джулией Брилл, уже реализуется в работе существующих встраиваемых систем, например, популярной платформы Windows Embedded. Как рассказал CNews Валерий Дробышевский, коммерческий директор компании «Кварта Технологии», Windows Embedded относится к числу операционных систем, в которые заложена возможность удаления ненужных модулей из системы, так называемая «компонентность». Так можно снизить «площадь атаки» и повысить безопасность системы.

Кроме того, в системе применяются так называемые «фильтры защиты от записи» (Universal Write Filters), которые позволяют заблокировать области жесткого диска от записи на него рабочих данных и кэша (то есть работа идет только в оперативной памяти). То есть личная информация, например пациентов, не хранится на локальном носителе, который используется только для загрузки. Благодаря этому устраняется риск утечки данных в случае кражи или потери устройства или носителя, пояснил эксперт. «Разумеется, в Windows по умолчанию заложены серьезные механизмы шифрации – технология BitLocker», – добавил Валерий Дробышевский.