С 2020 года все продающиеся в Калифорнии коммуникационные устройства должны будут иметь уникальный пароль или в обязательном порядке запрашивать у пользователя смену установленных по умолчанию учетных данных. Такое требование содержится в новом законе, подписанном губернатором штата. ИБ-специалисты положительно оценили инициативу властей, однако отметили ряд недостатков принятого правового акта.

Положения закона обязывают производителей снабдить все устройства, способные подключаться к Интернету, «разумными функциями безопасности», которые должны:

  • Соответствовать характеру и функциям прибора
  • Соответствовать тем данным, которые оборудование принимает, передает и хранит
  • Защищать само устройство и находящуюся в нем информацию от несанкционированного доступа, модификации или раскрытия

Если реализация этих требований предполагает предустановку логина и пароля, то заданные производителем учетные данные должны быть уникальными для каждого устройства. Закон также предусматривает введение обязательного изменения аутентификационной информации пользователем при первом запуске оборудования.

К такому шагу власти Калифорнии побудил рост числа кибератак, направленных на устройства Интернета вещей. Обеспокоенность законодателей понятна — к примеру, только за первую половину 2018 года в ловушки «Лаборатории Касперского» попало более 120 тыс. IoT-зловредов.

Киберпреступники взламывают умные устройства и создают мощные ботнеты для организации DDoS-кампаний, майнинга криптовалюты и манипуляции криминальным трафиком. Как оказалось, 75% таких сетей используют перебор паролей для взлома Telnet-портов, а еще 12% нацелены на SSH.

ИБ-эксперты приветствовали принятие нового закона и выразили надежду, что примеру Калифорнии последуют остальные штаты США и правительства других стран. При этом специалисты отметили, что обязательное создание нового пароля при первом запуске устройства не гарантирует уникальности и надежности учетных данных, поскольку пользователь может установить ту же связку admin-admin в качестве идентификационной информации.

Еще одной проблемой, которую не затрагивает закон, являются обновления прошивок IoT-оборудования. Как показали исследования экспертов, большинство владельцев домашних роутеров никогда не устанавливает апдейты программного обеспечения для своих устройств. По мнению ИБ-специалистов, необходимо разработать стандарты, позволяющие максимально упростить для пользователей получение и установку патчей.

Категории: Главное, Другие темы, Кибероборона