Семь лет назад широкомасштабная кибератака привела к сбоям в работе многих популярных веб-сайтов США. 21 октября 2016 года в течение нескольких продолжительных периодов пользователи интернета остались без доступа к таким ресурсам, как Twitter, CNN, Netflix и другим известным сайтам.
Первоначально предполагалось, что за атакой стоят влиятельные хакерские группировки, однако на деле все оказалось гораздо прозаичнее – это была распределённая атака типа «отказ в обслуживании» (DoS), направленная на компанию Dyn, предоставляющую услуги DNS – ключевого элемента коммуникационной инфраструктуры интернета.
Хотя сама атака была относительно простой, её масштабы поражали. Огромный объём трафика, обрушившийся на серверы Dyn, был создан ботнетом Mirai, состоящим из десятков тысяч заражённых потребительских устройств интернета вещей (IoT) – беспроводных камер, Wi-Fi-роутеров и прочей техники. Разработчиками вредоносной сети оказались три американских подростка, которые позже признали свою вину.
Хотя виновные были быстро установлены, атака Mirai высветила гораздо более серьёзную проблему – широкое распространение уязвимостей в устройствах IoT и использование производителями легкоугадываемых стандартных учётных данных, позволивших ботнету заразить около 300 тысяч гаджетов по всему миру.
29 апреля Великобритания стала первой страной, законодательно запретившей использование предустановленных паролей по умолчанию для устройств интернета вещей. Принятый Закон о безопасности продуктов и телекоммуникационной инфраструктуры 2022 года вводит новые обязательные стандарты кибербезопасности для производителей IoT-техники, в том числе требование об уникальных паролях и открытой информации о сроках поддержки продуктов обновлениями.
Нарушители новых правил рискуют столкнуться с крупными штрафами вплоть до $12,53 миллионов или 4% годового дохода компании – в зависимости от того, что больше. Ужесточение регулирования в сфере IoT продиктовано реальными рисками, которые создают уязвимые устройства. Так, хакеры однажды смогли проникнуть в защищённую сеть казино, взломав подключенный к интернету датчик температуры в аквариуме.
Внедрение единых стандартов безопасности рассматривается как важный шаг для защиты от новых масштабных кибератак, подобных Mirai, которые могут привести к серьёзным сбоям в работе интернета и убыткам для бизнеса и потребителей по всему миру.
Росио Конча (Rocio Concha), директор по политике и защите прав потребителей организации Which?, приветствовал принятие нового закона, но подчеркнул, что регулятору предстоит серьёзная работа по контролю за его исполнением. «Необходимо предоставить отрасли чёткие инструкции и быть готовыми принимать жёсткие меры в отношении производителей, нарушающих требования. В то же время мы ожидаем, что бренды смарт-устройств будут добросовестно выполнять новые правила», – заявил Конча.
Виконт Камроуз (Viscount Camrose), министр по кибербезопасности, подчеркнул важность нового законодательства на фоне растущих киберугроз. «По мере того как повседневная жизнь становится всё более зависимой от подключенных устройств, риски, связанные с интернетом, лишь множатся. Теперь, когда вступают в силу первые в мире законы о безопасности IoT-гаджетов, потребители могут быть уверены в защите своей конфиденциальности, данных и финансов от киберпреступников», – заявил Камроуз.
Аналогичные законодательные инициативы разрабатываются и в других странах, однако Великобритания стала пионером в этой сфере. Закон ЕС о киберустойчивости, содержащий схожие положения, ещё не согласован окончательно и, как ожидается, вступит в силу для стран Евросоюза не ранее 2027 года.
В США пока отсутствует единый федеральный закон, регулирующий безопасность потребительских IoT-устройств. Действующий с 2020 года Закон об улучшении кибербезопасности интернета вещей обязывает Национальный институт стандартов и технологий разрабатывать рекомендации лишь для федеральных ведомств по использованию умных гаджетов.
Великобритания стала первопроходцем в сфере регулирования безопасности потребительских IoT-устройств, и её опыт может оказаться полезным для других стран при принятии аналогичных законов в будущем.