Az IoT-eszközök védelme kibertámadások ellen
Az elosztott szolgáltatásmegtagadás (DDoS) az egyik leggyakoribb kibertámadás. 2016-ban egy új, Mirai nevű rosszindulatú szoftver jelentősen megnövelte a DDoS-támadások erejét.
A Mirai-t úgy tervezték, hogy átvegye az irányítást az IoT-eszközök, például az otthoni routerek és IP-kamerák felett, és olyan botokká alakítsa őket, amelyek segítségével nagy mennyiségű adatforgalommal lehetett túlterhelni a célzott informatikai hálózatokat. A Mirai előtt az úgynevezett botnethadseregek csak számítógépekből álltak, amelyeket nehezebb volt megfertőzni.
A nyomozók kezdetben azt hitték, hogy egy szélhámos nemzet áll a Mirai mögött, amikor az a világháló néhány legnagyobb webhelyét, köztük a Netflixet, a PayPalt és a Slacket is lekapcsolta. A kártevő kifinomultsága ellenére kiderült, hogy három tinédzser munkája, akik a hálószobájukból irányították az akciót.
Célpontjaik között szerepelt Brian Krebs biztonsági újságíró weboldala és a Dyn DNS-szolgáltató, amely az Egyesült Államokban megzavarta az internet-hozzáférést. A Mirai és változatai Afrikában, Ázsiában, Európában és Dél-Amerikában is pusztítást végeztek.
Napjainkban a DDoS-támadások száma egyre nő, mivel a hackerek úgy alakítják át stratégiáikat, hogy semlegesítsék az általánosan alkalmazott ellenintézkedéseket és kárenyhítési technikákat. Bizonyíték van arra, hogy a kiberfenyegetések szereplői egyre kreatívabbá válnak, ahogy a rendszergazdák hozzászoknak a kibertámadások egyik leggyakoribb típusának kezeléséhez.
Mivel az IoT tovább terjed, és az intelligens otthoni eszközöktől kezdve az ipari gépekig mindent magában foglal, az emberek, a rendszerek és az adatátviteli csatornák biztonságának szavatolása alapvető fontosságú. A nemzetközi szabványok univerzális keretet biztosítanak az IoT-eszközök biztonságához.
Az ISO/IEC 30141 például szabványosított IoT-referenciaarchitektúrát kínál, amelynek célja a biztonságosabb és ellenállóbb összekapcsolt rendszerek létrehozása. Ez a keretrendszer segít az IoT-alkalmazások tervezőinek és fejlesztőinek biztonságos, adatvédelem-központú rendszerek létrehozásában. Hangsúlyt fektet a funkcionális követelményekre, például az adat- és eszközkezelésre, továbbá a nem funkcionális követelményekre is, például a karbantarthatóságra, a megbízhatóságra és a skálázhatóságra.
Az ISO/IEC 27400 és az ISO/IEC 27402 iránymutatást és alapkövetelményeket biztosít az IoT biztonságára és adatvédelmére vonatkozóan. Az ISO/IEC TS 30149-ben felvázolt ágazatspecifikus architektúrák kidolgozása tovább növeli az IoT-re épülő rendszerek és szolgáltatások megbízhatóságát.
Az ISO/IEC 30165 és az ISO/IEC 21823 sorozat szabványai a valós idejű képességekkel és az interoperabilitási kihívásokkal foglalkoznak, hogy az IoT-rendszerek biztonságosan működhessenek, még összetett, nagy méretű környezetekben is.
Az ipari automatizálási és vezérlőrendszerek (IACS) integrálása az ipari dolgok internetébe (IIoT) kiberbiztonsági kihívásokat jelent a kritikus infrastruktúrák, például a villamos hálózat, a vízgazdálkodási rendszerek és a gyártóüzemek számára. Az olyan szabványok, mint az IEC 62443 sorozat (melynek számos része magyar nemzeti szabványként is elérhető) ezeket a kihívásokat hivatottak kezelni azáltal, hogy iránymutatásokat adnak az IIoT keretében az IACS-ek védelmére, valamint biztonságos és megbízható működésük biztosítására.
Az IECEE megfelelőségértékelése biztosítja az IEC 62443 helyes alkalmazását. Az IECEE az EN 303 645 (MSZ EN 303 645) szerinti tanúsítást is nyújt a fogyasztói IoT-eszközök kiberbiztonságára vonatkozóan. Az alkalmazási területébe tartozó IoT-termékek közé tartoznak a csatlakoztatott gyermekjátékok és bébimonitorok, a csatlakoztatott biztonsági termékek, például füstérzékelők, intelligens kamerák, televíziók és hangszórók, viselhető egészségmegőrző eszközök, csatlakoztatott készülékek és még sok más termék.
A szabványok megvásárolhatók személyesen az MSZT Szabványboltjában vagy online az MSZT Webáruházában.
Amennyiben valamely szabvány magyar nyelvű kidolgozását fontosnak tartja és az MSZT-vel együttműködve részt venne ebben, illetve támogatná a szabvány magyar nyelvű megjelenését, kérjük, keressen bennünket a szabvtit@mszt.hu elérhetőségen.
Forrás: https://www.iec.ch/blog/protecting-iot-devices-cyber-attacks
Nagy Gábor
2024. augusztus