Интернет вещей (IoT) стремительно развивается, проникая в самые разные сферы жизни — от производства и промышленности до умных домов и носимых устройств. С каждым годом количество подключенных устройств неуклонно растет, а вместе с ним увеличивается и значимость вопросов безопасности, связанных с их использованием. Европейский союз, в лице директивы по радиоустройствам (RED), предпринимает системный подход к регулированию оборудования, использующего радиосвязь, чтобы обеспечить комплексную защиту пользователей и рынка от киберугроз. Директива RED (2014/53/EU), принятая в 2014 году, изначально нацелена на стандартизацию маркетинга и эксплуатации радиоустройств на территории ЕС, обеспечивая соответствие продуктов критериям безопасности, здоровью населения, электромагнитной совместимости и эффективному использованию радиочастотного спектра. Важной вехой в истории директивы стало внесение в 2022 году дополнительных требований к кибербезопасности — эти нормы вступят в обязательную силу с 1 августа 2025 года.
Это означает, что производители, импортеры и дистрибьюторы обязаны соответствовать новым правилам, направленным на защиту устройств от цифровых угроз и сохранение доверия потребителей. Под действие RED попадает широкий спектр устройств, использующих радиоволны — от смартфонов, Wi-Fi роутеров и Bluetooth-устройств до комплексов, применяющих LoRaWAN, 4G и 5G-сети. Закон охватывает любые изделия с намерением излучать или принимать радиосигналы для связи или навигации. В то же время директива не распространяется на категории оборудования, регулируемые другими актами или предназначенные для специальных целей, таких как морское, авиационное и автомобильное оборудование, а также устройства, используемые в оборонных структурах и для обеспечения общественной безопасности. Производители играют ключевую роль в процессе обеспечения соответствия продукции требованиям директивы.
Они отвечают за дизайн и производство устройств, обязаны проводить оценку соответствия, обеспечивать наличие декларации соответствия ЕС и маркировки CE, а также хранить техническую документацию и инструкции пользователям до десяти лет. В случае выявления несоответствий или угроз производители должны изымать продукцию с рынка и сотрудничать с регулирующими органами. Импортеры берут на себя ответственность за продукцию, вводимую в ЕС из других стран, проверяют наличие сертификатов и следят за условиями хранения и транспортировки, чтобы сохранить соответствие. Дистрибьюторы, в свою очередь, гарантируют, что продукты перед попаданием к конечным пользователям отвечают требованиям безопасности, хранят техническую документацию и готовы отозвать с рынка небезопасные товары. Ключевыми аспектами новых кибербезопасных требований RED являются четыре базовых направления.
Первое — сетевая безопасность, которая предусматривает предотвращение использования устройств для нарушения работы сетей. Эти меры касаются тех устройств, которые подключены к интернету напрямую или через другие устройства и должны гарантировать, что они не созданы для вмешательства в работу радиочастотного спектра и не способны провоцировать сбои в функционировании сетей. Второе направление связано с защитой персональных данных. Оно применимо к оборудованию, которое обрабатывает личные данные пользователей и требует инкорпорации механизмов шифрования и других методов защиты данных как при передаче, так и во время хранения, чтобы исключить несанкционированный доступ и обеспечить конфиденциальность. Третья область — предотвращение мошенничества.
Эта категория касается устройств, непосредственно задействованных в денежных переводах и платежах, таких как терминалы оплаты и некоторые модели смартфонов. Здесь устанавливаются требования по внедрению многофакторной аутентификации и иных механизмов обеспечения безопасности с учетом специфики и уровней рисков. Четвертый аспект охватывает подлинность программного обеспечения, которая подразумевает технические меры, исключающие установку или исполнение неавторизованного ПО на устройствах. Это достигается через системы проверки загрузки программ (secure boot), цифровые подписи и другие аналогичные технологии, усиливающие защиту устройств от потенциальных взломов. Подготовка и обеспечение соответствия требованиям RED — задача непростая для многих компаний, особенно в условиях постоянно меняющегося технологического ландшафта и нормативной среды.
Чтобы облегчить этот процесс, был разработан гармонизированный стандарт EN 18031, опубликованный в начале 2025 года. Этот документ служит ориентиром при внедрении и проверке мер безопасности согласно директиве. Однако использование стандарта не является обязательным, допускается также самостоятельная оценка соответствия с необходимой документацией. Процесс достижения соответствия строится на тщательном анализе рынка и продуктов, выявлении применимых правил, выборе стратегии оценки соответствия и разработке мер по устранению разрывов в безопасности. Важно документировать все принятые решения и действия, а также разрабатывать понятные инструкции для пользователей, чтобы обеспечить корректную эксплуатацию и соблюдение условий безопасности.
