🧠 Когда мы говорим о безопасности Интернета вещей, большинство людей думает о пользовате…

🧠 Когда мы говорим о безопасности Интернета вещей, большинство людей думает о пользователях: мол, «ставьте сложные пароли», «обновляйте прошивки» и всё такое

Но вот в конце сентября NIST (Национальный институт стандартов и технологий США) выкатил обновлённый черновик руководства NIST IR 8259r2: Foundational Cybersecurity Activities for IoT Product Manufacturers — и там очень чётко сказано: безопасность IoT должна начинаться на стороне производителя, а не в момент, когда пользователь впервые включает устройство

И, честно, я не мог пройти мимо этого документа. Потому что он описывает ровно то, о чём я сам постоянно говорю: нельзя просто сделать «умную лампочку», которая подключается к Wi-Fi, и считать, что на этом миссия разработчика-производителя закончена 😏

NIST предлагает подход, при котором устройство должно быть не просто «secure» (то есть защищённым), а securable — то есть таким, которое можно защитить и управлять его рисками. Это уже философия. Производитель обязан продумать не только, как устройство будет работать, но и как оно будет обновляться, что с ним будет через 5 лет и как безопасно вывести его из эксплуатации

В новом разделе документа даже появилась активность под названием Support Product Cybersecurity through End-of-Life. Проще говоря, теперь производитель обязан подумать, как “похоронить” свой девайс, чтобы тот не превратился в часть очередного ботнета, когда перестанет получать обновления

NIST подчеркивает, что взаимодействие между производителем и пользователем — это не опция, а часть безопасности. Производитель должен честно говорить, какие риски есть у продукта, как долго он будет поддерживаться и что произойдёт, когда срок поддержки закончится 😅

Документ перекликается с другими инициативами NIST (SP 800-37, SP 800-53, IoT Core Baseline, SSDF) и по сути объединяет лучшие практики кибербезопасности под нужды именно IoT-производителей

И это важный шаг. Безопасность перестаёт быть чем-то, что “добавляют в конце”. Она становится частью процесса — от идеи до утилизации

🤌 Если производители действительно начнут следовать этим рекомендациям, мы, возможно, перестанем читать новости вроде «умный чайник стал частью ботнета» или «камеры наблюдения использовали для DDoS-атак»

А прямо сейчас документ можно прочитать на официальном сайте NIST. Очень советую, если вам интересна тема IoT не только как “умных гаджетов”, но и как целой экосистемы, где безопасность наконец-то перестаёт быть второстепенной 🙂

#интернет_вещей #информационная_безопасность