Власти Сингапура объявили об очередном этапе реализации государственной ИБ-стратегии. Разбираемся, в чем состоят их предложения, где еще обеспокоены безопасностью домашнего интернета и что хотели бы предпринять для защиты граждан от действий злоумышленников.
P.S. На днях мы рассказали о том, чем интересен рынок интернет-провайдеров Румынии.
Что случилось
Стратегию информационной безопасности Сингапура представили еще в 2016 году, но до ввода отдельных мер дошли только сейчас — в момент, когда риски, связанные с массовым распространением новых типов IoT-устройств, стало слишком сложно игнорировать, а общий уровень киберпреступности удвоился и перевалил пятидесятипроцентный порог темпов роста.
Дополнительным стимулом послужила эпидемиологическая обстановка, спровоцировавшая переход около шестидесяти процентов организаций на дистанционку. По этому показателю Сингапур даже стал одним из лидеров среди стран Азиатско-Тихоокеанского региона (АТР).
Как решили действовать
На основе национальной стратегии была разработана дорожная карта по защите сетевой инфраструктуры и обеспечения ИБ-интересов граждан страны. В рамках первого направления Сингапур планирует наладить сотрудничество с коллегами по АТР, а по второму — начал самостоятельную работу. Профильное министерство (CSA) уже представило стандартизированную схему маркировки устройств (Cybersecurity Labelling Scheme, CLS) — smart-гаджетов, маршрутизаторов и «систем умного дома» — по уровню защищенности:
-
Level 1 — продукт соответствует требованиям к регулярным обновлениям (ИБ-патчи) и устанавливаемым по умолчанию мерам защиты (парольным фразам);
-
Level 2 — для процесса проектирования, сборки и всего жизненного цикла продукта разработчики моделировали, оценили и минимизировали угрозы (Security-by-Design), привели продукт в соответствие требованиям IMDA IoT Cyber Security Guide;
-
Level 3 — программная начинка устройства прошла лабораторное автоматизированное тестирование на наличие «бинарных» уязвимостей, вредоносов и бэкдоров;
-
Level 4 — продукт прошел пентесты и соответствует требованиям третьего уровня.
В CSA решили первым делом запустить такую «маркировку» для домашних маршрутизаторов и систем умного дома. Начиная с 13 апреля 2021 года продажа таких устройств в Сингапуре без соответствующей маркировки может быть запрещена (от производителей ждут соответствия хотя бы первому уровню защищенности), но менять приобретенные девайсы не потребуется.
До 6 октября 2021-го маркировка будет бесплатной, но потом потребует оплаты. Пока ее получили всего два продукта бренда Kyla. Но в CSA подчеркнули, что их методика базируется на международных стандартах, поэтому проблем с дублированием сертификации быть не должно, а список устройств будет быстро расширяться.
Маркировка первого уровня для домашнего Wi-Fi и smart-девайсов подразумевает установку рандомизированных парольных фраз по умолчанию, их стойкость, отключение потенциально уязвимых интерфейсов, автоматическую загрузку ИБ-патчей, защищенный вход в систему управления устройством и проверку на несанкционированный дистанционный доступ.
Где еще вводят что-то подобное
Аналогичные фреймворки обсуждают в ЕС еще с 2016 года. Так, один из них — The EU cybersecurity certification framework — был ранее представлен Европейским агентством по кибербезопасности (ENISA) и вступил в силу этим летом вместе с общим пакетом мер, инкорпорированных в общий свод норм и правил под названием EU Cybersecurity Act.
ИБ-фреймворк подразумевает оценку целого спектра устройств. Требования должна выработать специальная сертификационная группа ECCG. Похожее регулирование этого сегмента рынка готовятся внедрить и власти Великобритании.
Пока подобные меры не встретили жесткой критики. На фоне скандала вокруг обсуждаемых предложений по регулированию сквозного шифрования они выглядят как более адекватная попытка защитить интересы граждан. Но как требования по маркировке и сертификации отразятся на рынке умных гаджетов для дома в этих странах — еще предстоит увидеть.
Дополнительное чтение по теме:
Автор: VAS Experts