Zabezpečení v systémech internetu věcí (IoT) je technologická oblast, která pokrývá řadu záležitostí, od zahrnutých informačních systémů k fyzickým aktivům a produktům, průmyslovým procesům a provozní technologii a řízení přístupu k zařízení.
Bezpečnost informací je hlavní záležitostí jakéhokoli systému informační a komunikační technologie a systémy loT nejsou výjimkou. Systémy loT představují specifické výzvy pro bezpečnost informací v tom, že jsou značně distribuovány a zahrnují velké množství různorodých entit. Z toho vyplývá, že existuje velmi mnoho možností útoku a významná výzva pro systém řízení bezpečnosti informací k uplatňování a udržování opatření bezpečnosti napříč celým systémem. To je hlavním motivačním faktorem.
Každý systém loT by měl používat systém řízení bezpečnosti informací, který se používá k identifikaci rizik systému loT a který identifikuje a implementuje sady opatření bezpečnosti, které se aplikují na systém loT pro řešení těchto rizik. To, která opatření jsou použita, může být předmětem modelu vyspělosti aplikovaného na organizaci odpovědnou za systém loT.
Normami, které se vztahují na systém řízení bezpečnosti informací, jsou ISO/IEC 27001, která stanovuje požadavky na ISMS, a také úzce souvisící ISO/IEC 27002 obsahující sady opatření bezpečnosti, které mají být aplikovány jako součást informační a komunikační technologie a systému. Hlavním cílem těchto norem je ustavit a udržovat dostupnost, důvěrnost a integritu systému loT. U systémů loT je další záležitostí zabránit zneužití systému, například neoprávněným a svévolným přístupem k rozhraním používaným k řízení nebo vyvolávání entit v rámci systému, jako jsou senzory a ovladače.
Významným prvkem systémů loT je fakt, že často zahrnují faktory provozní technologie, které zahrnují poněkud odlišnou sadu prvků než systém informační a komunikační technologie. Provozní technologie klade důraz zejména na problémy fyzické bezpečnosti, na důsledky fyzické bezpečnosti a souvisící preventivní opatření a často vyžaduje záměrné izolování entit v doméně snímání a ovládání, například nepoužíváním internetových protokolů. Viz soubor norem ČSN EN IEC 62443, která se zabývá bezpečností provozní technologie.
Existují další normy, které rozšiřují principy ČSN EN ISO/IEC 27001 na konkrétní kontexty a které se vztahují na konkrétní entity v rámci systému loT a na konkrétní typy systému loT. Mezi ně patří mimo jiné:
- ČSN EN 61508 Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností
- ČSN ISO/IEC 27035 Informační technologie- Bezpečnostní techniky- Řízení incidentů bezpečnosti informací
- ČSN ISO/IEC 27034 Informační technologie - Bezpečnostní techniky - Bezpečnost aplikací
- ČSN ISO/IEC 27033 Informační technologie - Bezpečnostní techniky - Bezpečnost sítě
- ČSN EN ISO/IEC 27040, Informační technologie - Bezpečnostní techniky - Bezpečnost úložišť dat
- ČSN ISO/IEC 27017 Informační technologie - Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací pro cloudové služby založený na ISO/IEC 27002
- ČSN EN IEC 62443 Security for industrial automation and control systems
- ISO/IEC 15045 Home electronic system (HES) gateway
- ISO/IEC 24767 Information technology - Home network security
- NIST SP 800-160 Systems Security Engineering: Considérations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems
- NIST SP 1500-201 Framework for Cyber-Physical Systems
- NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security
- NIST SP 800-53 Security and Privacy Controls for Fédéral Information Systems and Organizations
- NIST IR 7628 Guidelines for Smart Grid Cybersecurity
U systémů loT se obvykle stává, že je systém sestaven z komponent, které mají mnoho různých zdrojů. To se týká zejména mnoha a rovněž různorodých zařízení používaných v doméně snímání a ovládání a v doméně uživatele. Je nezbytné, aby organizace vytvářející systém loT vyhodnotila a pochopila aspekty bezpečnosti informací každé takové komponenty a aby pochopila, zda tyto aspekty splňují požadavky systému řízení bezpečnosti informací systému loT jako celku. Pokud jsou některé komponenty v některých ohledech nedostačující, je třeba používání takovýchto komponent odpovídajícím způsobem snížit.
Důležitým aspektem systému řízení bezpečnosti informací je pochopit, že bezpečnost informací je trvalý proces, nikoli něco, co se jednou provede a je dokončeno. Systémy loT nejsou v tomto ohledu žádnou výjimkou. I když nedojde k žádným změnám komponent systému, může být bezpečnost systému kompromitována nově objevenými zranitelnostmi a novými metodami útoku.
V důsledku toho může být nutné aktualizovat komponenty systému, aby se tyto zranitelnosti vyřešily. Je třeba pečlivě zvážit procesy používané k aktualizaci komponent systému:
- proces provádění aktualizací komponent (v minulosti existovaly případy, kdy některá zařízení neměla žádné nebo jen velmi omezené možnosti aktualizace);
- za druhé, bezpečnost procesu aktualizace a jeho provozování pouze tehdy, je-li proces řádně autorizován a kontrolován. Důležitým hlediskem jsou také dopady na celkový systém.
Je také rozumné, aby systém řízení bezpečnosti informací systému loT zvládal životní cyklus systému loT. Hlavní záležitostí je schopnost řešit změny v samotném systému loT, například přidání nových zařízení, která by mohla mít nové vlastnosti, jako je používání odlišných síťových technologií a komunikačních protokolů. Obdobně by mohly být v průběhu času zavedeny nové aplikace a služby, které by mohly mít nové dopady na bezpečnost.
Je potřeba, aby byl systém řízení bezpečnosti informací zabudován do životního cyklu vývoje používaného systému. Testování a validace opatření bezpečnosti, která jsou součástí systému řízení bezpečnosti informací, je zásadní a je třeba je provádět průběžně. Samotný systém řízení bezpečnosti informací podléhá změnám a aktualizacím stejně jako kterákoli jiná část systému loT, pokud se u něj ukáže zranitelnost, zjištěná buď testováním, nebo odhaleny incidenty bezpečnosti.
