UL certifikát zabezpečení
UL je zkratka Underwriter Laboratories. Jedná se o certifikační společnost třetí strany, která existuje již více než sto let. Je to nezávislá, nezisková, profesní organizace, která testuje veřejné zabezpečení.
UL byla založena v roce 1894 v Chicagu. Certifikuje produkty s cílem učinit svět bezpečnějším místem pro pracovníky i spotřebitele. Kromě testování nastavuje průmyslové standardy, které je třeba dodržovat při inovaci nových produktů.
UL Solutions je globální lídr v oblasti aplikované bezpečnostní vědy. Přeměňuje výzvy v oblasti bezpečnosti, zabezpečení a udržitelnosti na příležitosti pro zákazníky ve více než 100 zemích. Každý rok vstupuje na globální trh přibližně 14 miliard produktů s certifikací UL.
Hodnocení bezpečnosti IoT - internet věcí
Hodnocení bezpečnosti IoT(Internet věcí) společnosti UL bylo vyvinuto na základě bezpečnostního rámce UL MCV 1376. Hodnocení bezpečnosti IoT společnosti UL se připojuje k rostoucímu seznamu bezpečnostních řešení UL IoT, včetně úrovně dodavatelské kybernetické důvěry, UL Cybersecurity Assurance Program, IEC 62443 a dalších školicích a poradenských služeb, které se zabývají hodnocením bezpečnosti napříč ekosystémy, bezpečností a kvalitou dodavatelského řetězce a trhy regulovanými z hlediska bezpečnosti.
Při vyhodnocování bezpečnostních potřeb systému IoT je klíčové porozumět potenciálním rizikům, kterým čelí, potenciálním zranitelnostem a motivacím, které stojí za zlomyslnými pokusy o jeho kompromitaci. Tato analýza se opírá o dva primární faktory: dostupnost a potenciální zisky pro zlomyslné aktéry. Přístupnost se týká toho, jak snadno lze systém prolomit, zatímco potenciální zisky se týkají toho, jaká cenná aktiva by útočníci mohli získat. Ve svém jádru lze každý výpočetní systém, včetně internetu věcí, zjednodušit jako rámec vstupů, výstupů, úložiště a zpracování, jak je znázorněno níže
Rizika IoT - internetu věcí
Zaměření na uživatelská data jako primární cíl útoků IoT je běžné, ale všechny součásti systému IoT – jako jsou úložiště, výpočetní výkon, výstupní šířka pásma, data, síťové funkce a umístění zařízení – mohou být pro útočníky cenné. Například i zdánlivě málo hodnotné aktivum, jako je kamera odvrácená od domu, může být zneužito k připojení k masivnímu botnetu, monitorování aktivit, ohrožení soukromí nebo slouží jako startovací rampa pro širší síťové útoky. Níže uvedená tabulka uvádí příklady různých prostředků v systému IoT, na které se útočníci mohou zaměřit, jejich metody cílení a zamýšlené účely.
| Cíl | Typ útoku | Využití cíle |
|---|---|---|
| Data uložená nebo přístupná | Krádež dat | Zpeněžení / vydírání |
| Změna / poškození dat | Ransomware | |
| Odebrání systémových dat nebo kódu | Reverzní dekódování systému – krádež duševního vlastnictví | |
| Výpočetní výkon | Využití systémových prostředků | Těžba kryptoměn / Prolamování hesel |
| Systémové operace / funkce | Znemožnění operací | Ransomware / vydírání |
| Změna operací | Vytvoření smyčky kamerového systému | |
| Vyhodnocování operací | Rozpoznání zda jsou majitelé doma | |
| Zneužití chráněných operací | Odemčení dveřních zámků | |
| Síťové operace / funkce | Využití šířky pásma připojení | DDoS útoky |
| Zneužití funkcí důvěryhodné sítě | Změna DNS | |
| Síťová poloha | Přístup do další sítě nebo systému | Útok na další systémy |
| Zachycení datové komunikace | Krádež dat z dalších systémů |
Posouzení TVT produktů podle UL MCV 1376
| Kategorie | Funkce | Výsledek |
|---|---|---|
| 1. Aktualizace softwaru | 1.1 Podpora aktualizace softwaru | Vyhovuje |
| 1.2 Automatické sledování aktualizací softwaru | Vyhovuje | |
| 1.3 Ověření aktualizace softwaru | Vyhovuje | |
| 2. Data & Kryptování | 2.1 Žádné výchozí přihlašovací údaje ani tajné klíče | Vyhovuje |
| 2.2 Ochrana citlivých údajů | Vyhovuje | |
| 2.3 Vynucení složitosti přístupového hesla | Vyhovuje | |
| 2.4 Obnovení hesla | Vyhovuje | |
| 2.5 Kryptograficky silné generování náhodných čísel | Vyhovuje | |
| 3. Logické zabezpečení | 3.1 Zakázané vývojové rozhraní | Vyhovuje |
| 3.2 Zabezpečené výchozí hodnoty nastavení systému | Vyhovuje | |
| 3.3 Minimalizace prostoru pro útok | Vyhovuje | |
| 3.4 Princip nejmenších oprávnění | Vyhovuje | |
| 4. Správa systému | 4.1 Citlivé služby vyžadují ověření | Vyhovuje |
| 4.2 Trvalé vymazání citlivých dat | Vyhovuje | |
| 4.3 Ruční ovládání operací souvisejících s bezpečností | N/A | |
| 4.4 Ověření a ošetření vstupů | Vyhovuje | |
| 5 Zabezpečení komunikace | 5.1 Kryptograficky bezpečný přenos dat | Vyhovuje |
| 5.2 Zabezpečení bezdrátové komunikace | N/A | |
| 6. Procesy a dokumentace | 6.1 Identifikace produktu | Vyhovuje |
| 6.2 Sběr dat a manipulace s nimi | Vyhovuje | |
| 6.3 Dokumentovaný proces opravy / aktualizace | Vyhovuje | |
| 6.4 Zásady ukončení podpory | Vyhovuje | |
| 6.5 Program pro správu zranitelnosti | Vyhovuje | |
| 6.6 Pravidelně monitorovaná prostředí cloudu/aplikací | Vyhovuje |
UL certifikát udělený společnosti TVT
Informace o certifikátu u společnosti UL:
https://verify.ul.com/verifications/1314
Zmocnění spotřebitelů
Děláme zabezpečení produktů transparentní a dostupné spotřebitelům
Bezpečnost díky pečlivosti
Zajišťujeme aby byla zajištěna i nejmenší bezpečnostní rizika
Konkurenční diferenciace
Využíváme hodnocení bezpečnosti IoT k dosažení diferenciace zabezpečení
Dodržování předpisů
Udržujeme si náskok před vývojem právních předpisů a potenciální bezpečnostní odpovědností
Struktura zabezpečení produktů společnosti TVT
Zabezpečení produktů zasahuje hluboko do celého procesu výroby produktů firmy TVT, od počáteční fáze požadavku na vývoj až po konečnou fázi údržby. Bezpečnostních činnosti probíhají v každém kroku vývoje produktu.
Struktura zabezpečení dat společnosti TVT
Soukromá data a klíčové části technologií firmy TVT jsou zabezpečeny proti ztrátě, poškození nebo zneužití během celého životního cyklu (shromažďování, přenos, ukládání, použití a zničení)
Řešení ohrožení zabezpečení dat společnosti TVT
Bezpečnostní tým společnosti TVT řeší všechny zjištěné nouzové situace produktů. Uživatelé TVT produktů mají možnost nahlásit bezpečnostní problém prostřednictvím oficiálních webových stránek.
