În colaborare cu alți membri ai Consorțiului pentru Internet Industrial (IIC), experții Kaspersky Lab au elaborat un ghid al practicienilor privind securitatea – Security Maturity Model (SMM) Practitioner’s Guide. Acesta ajută operatorii IoT să definească nivelul de maturitate a securității pe care trebuie să-l obțină pe baza obiectivelor generale și de securitate, precum și în funcție de apetitul pentru risc.
Modelul SMM se bazează pe concepte identificate în cadrul IIC Industrial Internet Security Framework, publicată în 2016. SMM este primul de acest fel, punând în discuție abordarea recentă a maturității din perspectiva securității pentru domeniul IoT. Modelul identifică un cadru de securitate pentru jucătorii din IoT și evaluează maturitatea sistemelor IoT ale organizațiilor, luând în calcul guvernanța corporativă, tehnologia și managementul sistemului. Alte modele se pot adresa unei anumite industrii, cum ar fi celei IoT, excluzând securitatea, sau securității, excluzând domeniul IoT. SMM acoperă toate aceste aspecte și subliniază elementele modelelor existente, unde este cazul, pentru a nota progresul actual și a evita duplicarea.
Ghidul a fost realizat cu ajutorul mai multor jucători din domeniul IoT. Nu numai experții în securitate pun accentul pe sporirea securității infrastructurii care leagă sistemele informatice de obiectele fizice, ci și operatorii instalațiilor industriale, dezvoltatorii de software special, proprietarii de companii și autoritățile de reglementare. Prin urmare, SMM-ul IoT, spre deosebire de standardele și cerințele obișnuite de reglementare, ia în considerare interesele și nevoile de securitate ale tuturor organizațiilor și persoanelor implicate în operațiunile IoT și în gestionarea acestora.
În plus, ghidul practicianului conține trei studii de caz care ajută părțile interesate să aplice modelul de maturitate a securității. Acestea includ o linie inteligentă de îmbuteliere, un portal auto pentru actualizările OTA și camere de securitate utilizate în zone rezidențiale.
Ghidul ajută operatorii IoT să înțeleagă starea actuală, cea dorită și pașii pe care trebuie să îi urmeze pentru a-și atinge scopul. După evaluarea acestora, în timp, organizațiile își pot îmbunătăți starea de securitate, continuând să evalueze sistemul IoT și făcând îmbunătățiri pe baza celor 36 de parametri enumerați, până ating nivelul dorit.
„O mai mare importanță acordată măsurilor de securitate, stabilirea obiectivelor și elaborarea unei strategii pentru a face un sistem „suficient de sigur” reprezintă un obiectiv care influențează planificarea economică pe termen lung a organizațiilor, alături de investiții sau de alegerea programului de asigurare. Abordarea modernă a acestor sarcini include folosirea așa-numitului „nudge” – crearea unei arhitecturi care să ajute la luarea unei decizii eficiente într-o anumită zonă. SMM-ul IoT este un cadru pentru o astfel de arhitectură (nudge) în domeniul securității informațiilor IoT. Le permite actorilor să facă primul pas (apoi pe toți ceilalți) pe calea către un sistem securizat, fie că este vorba de o mare unitate de producție sau de cea pentru o brățară de fitness”, spune Ekaterina Rudina, senior system analyst la Kaspersky Lab ICS CERT.
Grupul de experți a lucrat la proiect timp de aproape doi ani: la începutul anului 2017, echipa de aplicare a securității care se concentrează pe utilizarea practicilor de securitate în aplicațiile IoT din viața reală, din cadrul IIC, a început să exploreze posibilitatea unui model de maturitate. Ghidul Practicianului SMM însoțește lucrarea IoT SMM: Description and Intended Use White Paper, care a fost elaborată în 2018.