Skip to content 
Dariusz Rycek
Zmiany wokół ISMS (SZBI)
W planach publikacyjnych tego roku w komitecie ISO/IEC JTC 1 oraz podległych mu sub-komitetach, grupach doradczych i grupach roboczych (łącznie ponad 40) widać największą aktywność. Sytuacja odwrotna do komitetu ISO/TC/309 – Governance of organizations, który rok temu przeżywał swój renesans (ISO 37301, ISO 37002, ISO 37000), a teraz dosłownie śpi – wszystkie projekty zatrzymały się na poziomie CD 30.xx – Commitee Draft, bądź rejestracji programu prac AWI – 20.00, od dobrego roku czasu. Można więc zapomnieć w bieżącym roku o kolejnych normach wsparcia dla doskonalenia CMS – Compliance Management Systems. Wiodąca rola ISO/TC powróciła więc do tematów z obszaru cyberbezpieczeństwa.
Obok nowelizacji ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, której premierę mieliśmy w lutym b.r. potrzeba czasu oraz presja środowiska doprowadziła do przyśpieszenia nowelizacji normy podstawowej z zakresu „bezpieczeństwa informacji, cyberbezpieczeństwa, prywatności”, bo tak dzisiaj definiuje się grupę tych norm – czyli ISO/IEC 27001 – Information technology — Security techniques — Information security management systems — Requirements, której premierę zapowiedziano na październik b.r. Podobnie będzie z normą ISO/IEC 27005 – Information technology — Security techniques — Information security risk management, której nowelizację zakończono 4 lata temu. Mimo niedawnego potwierdzenia aktualności tych standardów wymuszono zmianę, która wynikała z potrzeb środowiska, biznesu, rozwoju technologii oraz zmian w konkurencyjnych standardach (NIST, CIS, etc.). To akurat należy postrzegać jako pozytywny trygier, bo przyjęte sztywne reguły potwierdzania aktualności standardów i opieszałość w podejmowaniu wyzwań ich aktualizacji, prowadzi do obniżania ratingu przydatności, a nawet pauperyzacji z tytułu niedostosowania standardów do zmieniających się trendów. Mimo, że standardy powinny być postrzegane jako zbiór minimalnych wymagań, to bardzo rzadko podejmuje się próby ich rozszerzania przez beneficjentów na bazie norm posiłkowych z rodziny ISO 27000. Przykładem mogą być wydane w bieżącym roku takie normy jak ISO/IEC 27036-2 oraz ISO/IEC 27400.
IoT - Bezpieczeństwo i prywatność
ISO/IEC 27400:2022 — Cybersecurity — IoT security and privacy — Guidelines (w wolnym tłumaczeniu: Cyberbezpieczeństwo — Bezpieczeństwo i prywatność Internetu Rzeczy — Wytyczne). Do opracowania standardów zakresie IoT powołano specjalny podkomitet ISO/IEC JTC 1/SC 41 Internet of things and digital twin. Jednakże nie wyklucza to powstanie norm ponad podziałami, stąd premiera w czerwcu b.r. wspomnianej normy. Przyjrzyjmy się jej na szybko. Oprócz standardowych punktów odnoszących się do używanej terminologii, wprowadzenia i powiązań , treść normy stanowią: Koncepcje IoT, Źródła ryzyka dla systemów IoT, Zabezpieczenia i ochrona prywatności tak dla użytkowników, jaki i twórców i dostawców usług IoT. A samo opracowanie kończy załącznik „Kamera monitorująca IoT – przykładowy scenariusz zagrożeń”.
Ochrona prywatności lub informacji umożliwiających identyfikację osób stanowi istotny problem w przypadku niektórych rodzajów systemów IoT. Jeśli bowiem system IoT pozyskuje lub wykorzystuje informacje personalne , zazwyczaj obowiązują przepisy i regulacje dotyczące pozyskiwania, przechowywania i przetwarzania tych informacji. Nawet jeśli przepisy nie stanowią problemu, postępowanie z informacjami osobistymi w systemie IoT może stanowić zagrożenie dla reputacji i zaufania organizacji, np. jeśli informacje te zostaną skradzione lub niewłaściwie wykorzystane, co może spowodować pewne szkody dla osób zidentyfikowanych na podstawie tych informacji. Dlatego w standardzie ISO/IEC 27400 opracowano z myślą o uczestnikach środowiska systemu IoT środki kontroli bezpieczeństwa (zabezpieczenia) i ochrony prywatności, tak aby każdy z nich mógł korzystać w całym cyklu życia systemu IoT.
Niniejszy standard dotyczy następujących kwestii:
- Szeroki zakres i charakter oddziaływań, potencjalnie obejmujący szkody materialne i kwestie bezpieczeństwa;
- Niektóre IoT mają długi cykl życia, inne są tanie i jednorazowe. Przewidując krótki cykl życia zarządzanie wersją i zarządzanie zmianami – takie jak łatanie, to kolejne problemy dla IoT;
- Brak standaryzacji stwarza wyzwania w monitorowaniu i zarządzaniu IoT, co może skutkować brakiem zarządzania;
- Pytania dotyczące interoperacyjności i interakcji między IoT i innymi urządzeniami;
- Funkcjonalność i wydajność niektórych IoT są ograniczone;
- Możliwe połączenia lub zastosowania nie przewidziane przez projektanta lub producenta;
Sytuacja lub kontekst, w którym IoT są używane, może zmieniać się w czasie ze względu na zmieniających się właścicieli i użytkowników rzeczy, podobnie jak w tradycyjnym IT. Wielu projektantów, producentów i użytkowników IoT, zarówno osoby fizyczne, jak i korporacje, może nie być świadomych zagrożeń informacyjnych i przewidywanych, czy też niezbędnych zabezpieczeń, więc ten standard może służyć podnoszeniu świadomości i zwiększenie dojrzałości zarówno po stronie podaży, jak i popytu. W normie zdefiniowano 45 zabezpieczeń (środków kontroli), z czego 28 dotyczą kontroli bezpieczeństwa, a 17 dotyczy kontroli prywatności.
Ryzyko związane z ochroną prywatności
Może na koniec kilka słów o źródłach ryzyka związanego z ochroną prywatności przedstawionego w art. 6.2.4 normy. „…Każdy może postrzegać prywatność inaczej, ale w standaryzacji trzeba przyjąć pewien poziom, który tworzy zasady jej ochrony i bezpieczeństwa. A w IoT prywatność jest kluczowym problemem dla produktów i usług opartych na tej technologii we wszystkich sektorach. Podczas gdy w różnych dziedzinach opracowywane są nowe modele biznesowe i usługowe z wykorzystaniem danych zarejestrowanych przez czujniki IoT oraz danych pochodzących z usług IoT, pojawiają się obawy o ochronę prywatności użytkowników.
Wiele usług IoT koncentruje się na potrzebie uproszczenia obowiązków użytkownika IoT, nakładając je na twórców urządzeń IoT i dostawców usług IoT. Użytkownik może mieć trudności ze zrozumieniem architektury tych produktów i usług IoT oraz tego, jakie dane gromadzą o nim czujniki IoT, ponieważ producenci urządzeń i dostawcy usług albo nie udostępniają wprost szczegółów dotyczących przechwyconych danych, albo użytkownicy nie są świadomi, że powinni w pewnym zakresie znać know-how operacyjne urządzenia IoT i usługi IoT dla własnych korzyści.
Wraz ze wzrostem popularności usług opartych na technologii IoT stopniowe nakładanie się urządzeń i usług IoT na naszą codzienną rutynę spowoduje również wzrost obaw związanych z prywatnością użytkowników, jeśli problem ten nie zostanie rozwiązany już na etapie projektowania. Dzieje się tak dlatego, że zdolność urządzeń IoT do rozmawiania ze sobą (komunikacja M2M Machine to Machine) oraz techniczna możliwość wymiany danych kontekstowych między tymi urządzeniami a stronami trzecimi może pomóc w profilowaniu użytkowników i ocenie ich zachowań poprzez agregację danych, ponowną identyfikację i metody analityczne, w celu uzyskania korzyści biznesowych, co może się odbywać bez wiedzy lub zgody użytkownika. Ponieważ urządzenia IoT są prawie zawsze w trybie online, mogą one pozostawiać ślad danych w Internecie. Takie dane mogą być gromadzone w celu stworzenia cyfrowego śladu urządzeń i ich właścicieli. Inwazja plików cookie w urządzeniach IoT może również powodować naruszenie prywatności.
Na przykład cyfrowy obraz naszego codziennego życia można stworzyć, monitorując inteligentne urządzenia w domu, śledząc lokalizację naszych inteligentnych samochodów, monitorując parametry zdrowotne za pomocą inteligentnych urządzeń zdrowotnych lub śledząc nasze rozmowy prowadzone za pomocą inteligentnych urządzeń przeznaczonych do innych zastosowań. Aspekty przestrzenne i czasowe produktów i usług IoT mogą pomóc w agregacji określonych danych, które mogą pomóc we wnioskowaniu o różnych cechach użytkowników. Inteligentne produkty i usługi mogą być wzajemnie połączone i współzależne, tak jak w inteligentnych miastach, gdzie system bezpieczeństwa w domu może przekazywać dane i alarmy do miejskiego systemu monitoringu prowadzonego przez policję miejską lub rząd, inteligentna lodówka może w imieniu właściciela zamawiać żywność z internetowego sklepu spożywczego lub inteligentny system monitorowania zdrowia może przesyłać dane zdrowotne z inteligentnego noszonego urządzenia monitorującego stan zdrowia do ubezpieczyciela zdrowotnego. Interfejsy usług IoT mogą sprawić, że wykorzystanie danych kontekstowych będzie nieprzejrzyste dla zwykłych ludzi, którzy mogą pozostawić urządzenia IoT na ustawieniach domyślnych bez dostrajania ich pod kątem ochrony prywatności, co ostatecznie może prowadzić do naruszenia prywatności.
Te błędy projektowe twórców usług IoT i dostawców usług IoT oraz brak świadomości lub nieumiejętność użytkowników IoT mogą prowadzić do niewłaściwego wykorzystania informacji umożliwiających identyfikację osób i naruszenia prywatności, co powoduje brak zaufania do inteligentnych urządzeń i usług oraz utratę ich reputacji. Prywatność należy traktować jako kluczowy czynnik umożliwiający wykorzystanie potencjału technologii IoT wraz z innymi czynnikami budującymi zaufanie, takimi jak bezpieczeństwo, ochrona, niezawodność i odporność. Razem tworzą one fundament godnego zaufania połączonego świata „rzeczy”…”.
Zapraszamy do współpracy
Zespół QSCert / Centre of Excellence
Źródło:
- ISO/IEC 27400:2022 – — Cybersecurity — IoT security and privacy — Guidelines;
- https://www.iso.org/obp/ui/#iso:std:iso-iec:27400:ed-1:v1:en