A Connectivity Standards Alliance nem csak a Matter miatt fontos szereplő az okosotthon világában. Most a Product Security tanúsítási program 1.1-es verzióját jelentették be, ami kevésbé látványos hír, mint egy új kütyükategória, de hosszabb távon legalább ennyire fontos lehet.
Mert beszélhetünk bármennyit kényelmes automatizálásról, több ökoszisztémás vezérlésről vagy szép appokról, ha közben az IoT-eszköz biztonsága annyiból áll, hogy „reméljük, nem törték fel”.
Na, ez az a pont, ahol a tanúsításoknak tényleg van értelme.
Miről szól a Product Security 1.1?
A CSA Product Security Certification Program célja, hogy egységesebb biztonsági alapot adjon az IoT-termékekhez. A mostani 1.1-es verzió a gyártók oldaláról főleg megfelelőségi könnyítés: kevesebb párhuzamos bizonyítékgyűjtés, egyszerűbb eligazodás a különböző nemzetközi szabályozások között.
Ez elsőre gyártói adminisztrációnak hangzik, és részben az is. De a felhasználói oldalon is van tétje: minél kevésbé széttartóak a biztonsági követelmények, annál nagyobb esély van arra, hogy a termékeknél nem csak marketingmondat lesz a „secure by design”.
Az okosotthonokban egyre több olyan eszköz van, amely folyamatosan hálózaton lóg, adatot küld, távoli szolgáltatáshoz csatlakozik, appon keresztül vezérelhető, és néha még kamerát, mikrofont vagy ajtózárat is kezel. Ezt nem lehet félvállról venni.
Már nem csak az eszközt nézik
Az egyik legfontosabb változás, hogy a Product Security 1.1 már nem kizárólag eszközközpontú. A CSA szerint a frissített program teljes IoT-rendszereket is lefedhet.
Ez nagy különbség.
Egy okosotthon-termék ma ritkán csak maga a hardver. Ott van mellette:
- a mobilapp,
- a felhős távoli folyamat,
- az átjáró vagy központ,
- a firmware-frissítési mechanizmus,
- az adatkezelési és hozzáférési modell.
Ha csak magát az eszközt vizsgáljuk, könnyen elmehetünk a lényeg mellett. Hiába korrekt egy szenzor vagy relé helyi működése, ha a hozzá tartozó app, felhőszolgáltatás vagy gateway gyenge láncszem.
Ezért fontos, hogy a Product Security 1.1 már rendszerszinten gondolkodik. Az okosotthon biztonsága nem egyetlen dobozban lakik, hanem az egész láncban.
Két biztonsági szint: nem minden tanúsítás ugyanannyit ér
A frissítés két biztonsági megfelelőségi szintet vezet be.
Az első szint, a Level 1, gyártói önértékelésre épül, amelyet egy hivatalos tesztlabor, vagyis Authorized Test Laboratory ellenőriz. Ez egy belépő szintű, de strukturáltabb biztonsági alap.
A második szint, a Level 2, már független értékelést és funkcionális tesztelést is kér egy ilyen labor részéről. Magyarul: itt nem csak azt nézik, hogy a gyártó mit állít magáról, hanem külső fél is vizsgálja a működést.
Ez jó irány, mert az IoT-biztonságban nagyon nem mindegy, hogy egy termék „papíron megfelel”, vagy ténylegesen átment egy komolyabb ellenőrzésen.
Persze itt sem kell csodát várni. Egy tanúsítás nem jelent örök biztonságot. Nem váltja ki a frissítéseket, a felelős gyártói működést és a jó felhasználói beállításokat. De adhat egy minimumszintet, amihez képest legalább számon lehet kérni a termékeket.
EU RED és szingapúri biztonsági címke
A CSA bejelentése szerint a Product Security 1.1 már lefedi az Európai Unió Radio Equipment Directive harmonizált kiberbiztonsági követelményeit, illetve a szingapúri Cyber Security Labeling Scheme-et is.
Ez gyártói oldalról azért fontos, mert a globális piacokon nem ugyanazok a szabályok. Ha egy tanúsítási program több követelményrendszerhez is használható bizonyítékalapot ad, az csökkentheti a felesleges duplikációt.
Felhasználói oldalról pedig azért érdekes, mert az okosotthon-piac eddig sokszor vadnyugatként működött. Egyre több régióban kezdik komolyabban venni, hogy a hálózatra kötött termék nem csak termék, hanem potenciális támadási felület is.
Ez különösen az olcsó, gyorsan piacra dobott IoT-eszközöknél fontos. Nem minden olcsó eszköz rossz, és nem minden drága eszköz jó. De ha nincs átlátható biztonsági alap, akkor a vásárló gyakran csak a dobozon lévő ígéretekre hagyatkozik.
Mit jelent ez az okosotthonban?
Röviden: nem azt, hogy holnaptól minden tanúsított eszköz tökéletesen biztonságos lesz.
Inkább azt jelenti, hogy a piac lassan abba az irányba mozdul, ahol a biztonság nem opcionális extra, hanem alapelvárás. Ez különösen fontos azoknál az eszközöknél, amelyek ajtót nyitnak, kameraképet kezelnek, jelenlétet érzékelnek vagy távoli hozzáférést adnak az otthonodhoz.
Én személy szerint örülök annak, hogy a CSA nem csak interoperabilitásról beszél, hanem biztonsági tanúsításról is. A Matter akkor lesz igazán értékes, ha nem csak összeköti az eszközöket, hanem közben nem nyit felesleges kapukat sem.
A Product Security 1.1 nem fogyasztói slágertéma. Nem lesz belőle látványos reklámvideó, ahol a család boldogan integet a kamerába. De ha komolyan gondoljuk az okosotthonok jövőjét, akkor ezek a háttérben futó biztonsági alapok pont annyira fontosak, mint maga a kényelmi funkció.
Ha a Matter oldaláról néznéd tovább a CSA munkáját, a Matter témájú korábbi írásainkat is érdemes átnézni.
Gyakran ismételt kérdések
Mi az a Product Security 1.1?
A Product Security 1.1 a Connectivity Standards Alliance IoT-biztonsági tanúsítási programjának új verziója. Célja, hogy egységesebb biztonsági alapot adjon a hálózatra kötött termékek és rendszerek számára.
Miben más az 1.1-es verzió?
Az új verzió már nem csak egyedi eszközökre fókuszálhat, hanem teljes IoT-rendszerekre is: eszközre, appra, távoli folyamatokra és átjárókra. Emellett két biztonsági megfelelőségi szintet vezet be.
Ettől biztonságos lesz minden tanúsított okosotthon-eszköz?
Nem automatikusan. A tanúsítás fontos alapot adhat, de a hosszú távú biztonsághoz frissítésekre, felelős gyártói működésre és jó felhasználói beállításokra is szükség van.
Miért számít ez egy átlagos vásárlónak?
Azért, mert az okosotthon-eszközök egy része érzékeny adatokhoz, kamerához, zárhoz vagy távoli hozzáféréshez kapcsolódik. Minél komolyabb a biztonsági alap, annál kisebb az esélye annak, hogy a kényelemért cserébe felesleges kockázatot vállalunk.
Forrás: Connectivity Standards Alliance — Product Security 1.1 bejelentés
