Kroz sigurnosnu provjeru i penetracijsko testiranje u SIQ-u kako bi se osigurala sigurnost i pouzdanost
Povezivost uređaja (IoT) jedan je od ključnih elemenata modernog digitalnog ekosustava u svakodnevnom životu kao i u poslovanju. Kada je riječ o pametnim domovima, povezanim industrijskim sustavima ili zdravstvenim aplikacijama, sigurnost ovih uređaja postaje glavno i najvažnije pitanje kako za proizvođače tako i za krajnje korisnike. Razvoj kibernetičke sigurnosti pomno se prati i vodi različitim propisima, a provedba sigurnosnih pregleda i penetracijskih testova od strane proizvođača ključna je za osiguranje sigurnosti i pouzdanosti.
Posljednjih godina Europska unija doživjela je dramatičan porast kibernapada koji su ugrozili sigurnost i stabilnost digitalnog prostora. Od 2022. do danas zabilježeni su milijuni napada na različite sektore i organizacije. Posebno je zabrinjavajuće povećanje broja kibernapada usmjerenih na izravno povezane uređaje koji su postali dio našeg svakodnevnog života i gospodarstva. Iako točna statistika o broju napada na povezane uređaje možda nije dostupna, jasno je da su oni važna meta za kibernetičke napadače, jer napadi na njih mogu uzrokovati štetu i na individualnoj i na razini sustava.
Proizvođači će morati dokazati usklađenost sa standardima
Prvi praktični obrambeni korak EU-a bio je Dodatak 3.3. postojećoj Direktivi o radijskoj opremi RED 2014/53/EU, kojim se utvrđuju zahtjevi za radijsku opremu, uključujući povezane uređaje. Iako je ta Direktiva prvotno bila usmjerena na tehničku kompatibilnost i učinkovitost radiofrekvencijskog spektra, sigurnost je također sve više u prvom planu. Očekuje se da će novi zahtjevi direktive stupiti na snagu 1.8.2025., kada će proizvođači širokog raspona povezane opreme također morati dokazati usklađenost u području kibersigurnosti.
Očekuje se da će Zakon o kiberotpornosti (CRA) također biti odobren krajem 2024., čime će se dodatno ojačati sigurnosni zahtjevi povezanih uređaja. Bit će potreban sveobuhvatan pristup sigurnosti u digitalnom prostoru, uključujući redovita preispitivanja i testiranja, kako bi se osigurala sistemska otpornost na kibernapade.
Glavni izazov za cijeli ekosustav je kako osigurati usklađenost i koji su relevantni standardi. Uredba opisuje mnoge aktivnosti i ciljeve koji će se morati ispuniti, ali ne definira stvarne metode i postupke. Također nema mnogo primjera dobre prakse ili jasnih smjernica nacionalnih regulatora (slučaj FDA za medicinske proizvode u Sjedinjenim Državama). Na tehničkoj razini bit će potreban razvoj dodatnih standarda kako bi se obuhvatile razne nove usluge i proizvodi (na primjer, web ili mobilne aplikacije).
Trenutno se postojeći standardi koriste za pokrivanje određenih aspekata ili proizvoda, ali većina njih će se u bliskoj budućnosti nadograditi. Nalaze se u raznim industrijama, uključujući potrošačku elektroniku, medicinsku tehnologiju i industrijsku automatizaciju.
Standard EN 303 645 usredotočen je na sigurnost povezanih uređaja u potrošačkom sektoru. Njome se utvrđuju zahtjevi za sigurnost podataka, sigurnost komunikacijskih veza i osiguravanje privatnosti korisnika.
Standard ISA/IEC 62443 namijenjen je sigurnosti industrijske automatizacije i upravljanja. Uključuje sveobuhvatan pristup sigurnosti, koji obuhvaća tehničke i organizacijske aspekte sigurnosti informacijskih sustava.
Standard IEC/EN 81000-5-1 usredotočen je na zahtjeve sigurnosti softvera u medicinskim uređajima i ključan je za osiguravanje procesa i ispunjavanje osnovnih tehničkih sigurnosnih zahtjeva. Standard također predviđa penetracijske testove na samim medicinskim proizvodima.
Penetracijski testovi za učinkovitu borbu protiv prijetnji i sustavni pristup upravljanju sigurnošću
Open Web Application Security Project (OWASP) redovito objavljuje popise najčešćih ranjivosti u različitim digitalnim okruženjima, uključujući Internet stvari (IoT). Njihov OWASP IoT Top 10 popis identificira najkritičnije ranjivosti koje prijete sigurnosti povezanih uređaja i njihovih sustava. Kako bi se učinkovito suzbile ove prijetnje, ključno je provesti odgovarajuće testove kojima se otkrivaju i otklanjaju ranjivosti.
Iako je provođenje sigurnosnih provjera i penetracijskih testova važno za osiguranje sigurnosti povezanih uređaja, s druge strane, također je važno da organizacije uspostave sveobuhvatne sustave upravljanja informacijskom sigurnošću. Među najpriznatijima je standard ISO 27001.
ISO 27001 pruža okvir za uspostavljanje, implementaciju, održavanje i kontinuirano poboljšanje sustava upravljanja informacijskom sigurnošću organizacije. Ovaj standard pokriva širok raspon aktivnosti, uključujući politike, postupke, sigurnosne mjere i upravljanje rizicima, koje su ključne za učinkovitu zaštitu informacijske imovine. Uz sveobuhvatan pristup, standard pokriva cijelu organizaciju, a ne samo IT odjel. Prednosti implementacije dolaze od ljudi, tehnologije i procesa.
Gdje se obratiti za pomoć?
SIQ Ljubljana nudi tvrtkama i organizacijama sveobuhvatne usluge u području informacijske sigurnosti kako bi vam pomogao osigurati najvišu razinu sigurnosti poslovanja. Od konvencionalnih penetracijskih testova do testova IoT uređaja i sigurnosnih i revizijskih pregleda, certifikacije sustava upravljanja informacijskom sigurnošću i obuke zaposlenika.
Sigurnosni pregledi, penetracijski testovi i drugi sigurnosni postupci važni su koraci u postizanju usklađenosti sa zakonskim zahtjevima i osiguravanju trajne otpornosti na kibernetičke prijetnje. Rezultat sveobuhvatnog pristupa je osiguravanje kontinuiteta poslovanja, što je danas ključno za održavanje ugleda i povjerenja.
