С целью защиты рынка услуг "Интернета вещей" необходимо сформировать контролируемую с точки зрения управления и контроля сеть "Интернета вещей" на территории Российской Федерации через Реестр разрешенных на территории Российской Федерации идентификаторов устройств, точек доступа, узлов телематических служб, элементов сети передачи данных общего пользования, однозначно определяющих каждое отдельное устройство и его тип, и правила их разрешенного оборота, гарантирующих однозначную идентификацию устройств, процессов и их субъектов.
Реестр ID формируется на основе международных рекомендаций по установлению форматов идентификаторов с учетом особенностей рынка телекоммуникаций Российской Федерации. Применение устройств без использования разрешенных идентификаторов на территории Российской Федерации должен быть ограничен.
Узлы ТМС или СПД ОП, хранилища данных и прочие элементы, входящие в инфраструктуру интернета вещей, участвующие в предоставлении услуг абонентам на территории Российской Федерации, должны находиться на территории Российской Федерации.
Изготовители оборудования или операторы связи должны будут получить в уполномоченном органе требуемую емкость идентификаторов, входящих в Реестр, и установить идентификаторы в устройства и точки доступа, входящие в персональные сети абонентов, которые поступают в свободную продажу на рынок Российской Федерации.
Оператор услуг связи для предоставления услуг IoT на территории Российской Федерации должен получить в установленном порядке лицензию на предоставление услуг связи в СПД ОП или ТМС.
Абоненты (пользователи) получают идентификаторы у оператора при заключении договора на получение услуг.
Такой набор мер обеспечивает невозможность предоставления услуг по мониторингу и управлению персональными сетями IoT несанкционированными организациями.
Также целесообразным является разработка системы требований по криптографической защите радиоинтерфейсов узкополосных беспроводных сетей связи IoT, в которой была бы введена классификация применений, требующих использования тех или иных видов криптографии. Для критически важных применений должны быть установлены требования по использованию отечественных алгоритмов криптографии. Данное требование наиболее просто реализуется в узкополосных беспроводных сетях связи IoT в полосах радиочастот, используемых в общем порядке, для которых предусмотрена возможность замены алгоритмов шифрования без модификации сети радиодоступа за счет замены алгоритмов в SIM-картах и системах аутентификации. Так, для технологии NB-IoT, данные ключи заранее загружаются в UICC в защищенном режиме, а также специально хранятся в ядре сети для однозначной аутентификации абонента.
Для IoT разработан стандарт встраиваемой карты UICC, так называемый eUICC, который в отличие от отдельной SIM-карты выполняется в виде распаиваемой платы с пониженным энергопотреблением. Однако форм-фактор не главное отличие eUICC. В отличие от SIM карт, в которых запись профиля оператора осуществлялась на программаторе, в eUICC данные оператора и обновление постоянных ключей и алгоритмов шифрования возможно по радиоканалу. Для обеспечения безопасной загрузки профилей в eUICC в рамках GSMA была разработана соответствующая архитектура Embedded SIM Remote Provisioning Architecture, специально ориентированная на управление устройствами IoT. Данный механизм в IoT является особенно востребованным, т.к. рекомендуется изменять ключи не реже одного раза в 5 лет, что для многих устройств IoT означает хотя бы одну смену ключей в процессе эксплуатации. Соответствующие механизмы смены ключей предусмотрены и на уровне ядра сети.
Более сложно ситуация обстоит с узкополосными беспроводными сетями связи IoT в полосах радиочастот, используемых в упрощенном порядке, где замена криптографических алгоритмов может быть сопряжена с более существенными доработками оборудования сети радиодоступа. При этом в узкополосных беспроводных сетях связи IoT в полосах радиочастот, используемых в упрощенном порядке, отсутствуют стандартизованные аналоги eUICC. Так, зачастую обмен ключами шифрования между радиомодулем и контроллером может быть перехвачен, что позволяет создавать дубликаты устройств. При этом отсутствуют проработанные системы перезарузки долгосрочных ключей или алгоритмов шифрования по радиоканалу в случае их компрометации, что усугубляется отсутствием механизма подтверждения приема информации для гарантирования полного приема информации практически во всех стандартах узкополосных сетей LPWAN в полосах радиочастот, используемых в упрощенном порядке.
Необходимо стремиться к приоритетному использованию отечественных криптографических алгоритмов и/или отечественной ЭКБ в устройствах IoT.