Как мне убедиться, что продукция соответствует стандартам безопасности данных США при покупке китайских сельскохозяйственных дронов?

Когда наша команда инженеров разрабатывает летные системы, мы ясно слышим ваши опасения по поводу конфиденциальности данных. SOC 2 Type II ¹. конфиденциальность данных ² Нарушения безопасности могут испортить сезон сбора урожая и поставить под угрозу конфиденциальные сельскохозяйственные данные.

Для обеспечения соответствия проверьте, избегает ли производитель списка запрещенных компаний FCC и соответствует ли стандартам раздела 848 NDAA. Вы должны требовать прошивку, поддерживающую “Режим локальных данных” для предотвращения автоматической синхронизации, убедиться, что все данные зашифрованы с помощью AES-256, и подтвердить, что любое используемое облачное хранилище физически размещено на серверах в США, а не на иностранной инфраструктуре.

Вот как именно вы можете проверить и подтвердить эти меры безопасности перед покупкой.

Как проверить, соответствует ли китайский производитель дронов нормам NDAA?

Мы постоянно обновляем наши списки поставщиков компонентов в соответствии с глобальными экспортными стандартами и избегаем запрещенного оборудования. Навигация по федеральным черным спискам может быть сложной, но проверка происхождения оборудования — это первый критически важный шаг.

Вы должны запросить полный перечень материалов (BOM), чтобы убедиться, что дрон не содержит критически важных компонентов от компаний, находящихся в списке запрещенных согласно разделу 848 NDAA. Перекрестно проверьте название производителя по конкретному списку Министерства обороны “Китайские военные компании” и “Списку запрещенных компаний” FCC, чтобы убедиться, что оборудование имеет право на использование в США.

Понимание нормативно-правовой базы жизненно важно для покупателей из США. Закон об ассигнованиях на национальную оборону (NDAA) конкретно направлен на Закон об ассигнованиях на национальную оборону (NDAA) ³ риски в цепочке поставок. Раздел 848 запрещает Министерству обороны эксплуатировать или закупать беспилотные летательные аппараты (БПЛА), произведенные в Китае. Хотя это строго относится к федеральным агентствам, многие частные предприятия и государственные сельскохозяйственные департаменты принимают эти стандарты в качестве ориентира для "безопасных" технологий.

Аудит перечня материалов

Чтобы по-настоящему проверить соответствие, вы не можете полагаться на простое "Да" от продавца. Вам нужно заглянуть под капот. Дрон — это совокупность различных компонентов, а NDAA фокусируется на критически важных подсистемах. Вам следует запросить у поставщика подробную разбивку компонентов.

При проверке спецификации материалов (BOM) сосредоточьтесь на этих трех основных областях:

1. Полетный контроллер: Это мозг дрона. Убедитесь, что чипсет не принадлежит запрещенной организации.
2. Система радиопередачи: Связь между пультом и дроном является распространенным вектором утечки данных.
3. Системы камеры и стабилизатора: Визуальные датчики собирают наиболее конфиденциальные данные.

Проверка федеральных списков

Вам необходимо проверить два основных списка. Первый — это ограничения раздела 848 NDAA. Второй, и, возможно, более актуальный для коммерческих операторов, — это список покрываемых устройств FCC. Список, охватываемый FCC ⁴ Закон о безопасном оборудовании 2021 года запрещает FCC авторизовать оборудование из этого списка. Если новая модель дрона находится в списке покрываемых устройств, ее нельзя легально импортировать или продавать в США.

Соответствие требованиям против разрешения

Существует разница между "соответствием NDAA" и нахождением в "списке разрешенных устройств Blue UAS"." Списка одобренных БПЛА Blue UAS ⁵ Blue UAS — это очень эксклюзивный список предварительно одобренных дронов для Министерства обороны. Большинство коммерческих сельскохозяйственных дронов не будут в списке Blue UAS из-за стоимости и объема. Однако они все равно могут соответствовать NDAA, если не используют запрещенные компоненты.

Обратитесь к таблице ниже, чтобы понять различия в нормативном статусе.

Выполняя эти проверки, вы отсеиваете аппаратное обеспечение высокого риска еще до того, как оно попадет на вашу ферму.

Могу ли я настроить программное обеспечение для управления полетом, чтобы данные оставались в США?

Наша команда инженеров-программистов часто сотрудничает с клиентами из США для создания пользовательских версий прошивки, которые удаляют ненужные сетевые вызовы. Мы знаем, что стандартизированное, заблокированное программное обеспечение часто вызывает больше беспокойства, чем пользы для фермеров, заботящихся о безопасности.

Да, вы часто можете запросить “сборку пользовательской прошивки” или использовать SDK (комплект для разработки программного обеспечения) для замены стека связи по умолчанию. Это позволяет вам навсегда отключить функции “звонка домой”, удалить аналитику фонового использования и заставить дрон работать в полностью автономной среде, где данные не покидают локальный контроллер.

Аппаратное обеспечение — это только половина дела. Программное обеспечение, работающее на полетном контроллере и наземной станции (планшете или пульте), определяет, куда отправляются ваши данные. Многие готовые сельскохозяйственные дроны поставляются с проприетарными приложениями, которые автоматически синхронизируют журналы полетов, схемы распыления и GPS-координаты с облаком производителя. Это часто делается для "проверки гарантии" или "прогнозного обслуживания", но представляет собой риск безопасности.

Сила SDK

Ведущие производители, такие как мы, предлагают Mobile SDK (комплект для разработки программного обеспечения) или Onboard SDK. Это мощный инструмент для обеспечения безопасности. SDK позволяет сторонним американским компаниям-разработчикам программного обеспечения писать летное приложение.

Вместо использования стандартного китайского приложения вы можете использовать американское программное обеспечение (например, некоторые платформы точного земледелия), которое напрямую взаимодействует с аппаратным обеспечением дрона. Это полностью обходит облачную инфраструктуру производителя. Данные передаются с дрона на пульт, а затем напрямую на ваши безопасные Закон о безопасном оборудовании 2021 года ⁶ серверы.

Режим локальных данных

Если переписывание программного обеспечения не является вариантом, вам следует искать "Режим локальных данных". При активации этот режим действует как брандмауэр на дроне. Он позволяет дрону летать и распылять, используя GPS, но отключает интернет-соединение для загрузки данных.

Почему "Режим локальных данных" важен:

• Конфиденциальность: Карты здоровья посевов остаются на вашей SD-карте.
• Скорость: Нет лишнего трафика для загрузки гигабайтов видео 4K.
• Безопасность: Уменьшает поверхность атаки для киберугроз.

Автономные рабочие процессы

Для максимальной безопасности следует рассматривать дрон как устройство с "воздушным зазором". Это означает, что дрон и его контроллер никогда не подключаются к открытому Интернету. Обновления выполняются через проверенную SD-карту, а не по воздуху (OTA).

Ниже приведено сравнение того, как различные программные конфигурации обрабатывают ваши данные.

Запрос доступа к SDK или сборки пользовательской прошивки фактически возвращает вам ключи к данным.

Какую документацию мне следует запросить, чтобы доказать, что прошивка дрона безопасна?

Прежде чем мы отправим любое устройство с нашего предприятия в Сиане международным дистрибьюторам, мы убеждаемся, что наш пакет документации полон. Мы считаем, что прозрачность в отчетах о тестировании — единственный способ построить долгосрочное доверие с западными покупателями.

Вам следует запросить отчет SOC 2 Type II или сертификат ISO 27001 для проверки внутренних средств контроля данных поставщика. Кроме того, запросите результаты стороннего тестирования на проникновение от признанной фирмы по безопасности и четкое Лицензионное соглашение конечного пользователя (EULA), в котором явно указано, что пользователь сохраняет 100% владение всеми собранными данными.

Маркетинговые брошюры всегда будут утверждать, что продукт "безопасен". Однако в мире соответствия требованиям к данным "безопасность" — это юридический и технический термин, требующий доказательств. Когда вы ведете переговоры с поставщиком, требуемая вами документация является вашим основным рычагом воздействия.

Сторонние аудиты безопасности

Самосертификации недостаточно. Сертификация ISO 27001 ⁷ Вам нужны доказательства того, что независимый аудитор протестировал систему.

• ISO/IEC 27001: Это международный золотой стандарт управления информационной безопасностью. Если у производителя есть этот сертификат, это означает, что у него есть систематические процессы для управления конфиденциальной информацией компании и клиентов.
• SOC 2 Type II: Это более распространено на американском рынке программного обеспечения. Он оценивает эффективность средств контроля компании с течением времени в отношении безопасности, доступности и конфиденциальности.

Отчеты о тестировании на проникновение

Спросите производителя, проходил ли он "тестирование на проникновение". Это когда этичные хакеры пытаются взломать программное обеспечение дрона, чтобы найти уязвимости. Авторитетный производитель поделится сводкой этих результатов (отредактированной для безопасности), чтобы доказать, что они активно устраняют уязвимости.

анализ EULA

Лицензионное соглашение конечного пользователя (EULA) часто игнорируется, но оно содержит важные детали. Вам нужно искать конкретные пункты.

• Владение данными: Указано ли в тексте "Производитель владеет правами на агрегированные данные"? Если да, откажитесь. Должно быть указано "Пользователь сохраняет полное право собственности"."
• Анонимные данные об использовании: Многие соглашения позволяют производителям собирать "анонимные" данные. В сельском хозяйстве GPS-координаты никогда не бывают по-настоящему анонимными, поскольку они соответствуют конкретному адресу фермы. Убедитесь, что вы можете отказаться от этого.

Стандарты шифрования

Документация должна явно указывать используемые стандарты шифрования. "Военный уровень" — это маркетинговый термин. Вам нужны конкретные технические аббревиатуры.

• AES-256: Стандарт шифрования данных при хранении (на SD-карте дрона).
• TLS 1.2 или 1.3: Стандарт шифрования данных при передаче (между дроном и контроллером).

Если в техническом описании не указаны эти протоколы, это тревожный сигнал.

Будут ли мои сельскохозяйственные летные данные храниться локально или передаваться на иностранные серверы?

Мы настраиваем наши наземные станции управления, чтобы отдавать приоритет конфиденциальности пользователей, зная, что американские фермеры считают данные своих полей проприетарными коммерческими тайнами. Мы предпочитаем предоставить вам возможность выбрать собственный путь хранения, а не навязывать стандартный.

Это полностью зависит от конфигурации сервера, которую вы выберете во время настройки. Вы должны настаивать на использовании облачной инфраструктуры, расположенной в США (например, AWS или Azure Microsoft Azure ⁸ размещенной в Северной Америке), или строго локального хранилища, где данные никогда не покидают SD-карту, гарантируя, что телеметрия или изображения никогда не будут переданы на серверы за пределами Соединенных Штатов.

Физическое расположение сервера — это последняя граница суверенитета данных. Даже если данные зашифрованы, если они находятся на сервере в юрисдикции с инвазивными законами о данных, они подвергаются риску. Для китайских сельскохозяйственных дронов по умолчанию часто используется сервер в материковом Китае или Сингапуре. Вы должны активно изменить это.

Облако против локального хранения

Современные сельскохозяйственные дроны являются мощными сборщиками данных. Они генерируют:

• Ортомозаичные карты: Карты ваших полей с высоким разрешением.
• Мультиспектральные данные: Информация о здоровье растений, невидимая невооруженным глазом.
• Журналы опрыскивания: Записи о применении химикатов для соблюдения нормативных требований.

Если вы используете функции "Облако" для удобства (легкий обмен с агрономами), вы доверяете компьютер другого человека.

Варианты облачных сервисов, размещенных в США

Если вы должны использовать облако, проверьте хост. Многие ведущие китайские производители теперь арендуют серверное пространство у Amazon Amazon Web Services (AWS) ⁹ Web Services (AWS) Amazon Web Services ¹⁰ или Microsoft Azure, расположенных специально в Вирджинии или Калифорнии, чтобы удовлетворить потребности клиентов из США. Вам следует запросить письменную гарантию или схему архитектуры, показывающую, что конечная точка данных имеет IP-адрес США.

Решение "Sneaker-Net"

Самый безопасный метод — старый добрый способ: физические носители. Мы часто рекомендуем подход "Sneaker-Net" для клиентов с высокими требованиями к безопасности.

1. Запустите дрон в автономном режиме.
2. Данные сохраняются на бортовую SD-карту.
3. Приземлите дрон.
4. Извлеките SD-карту и отнесите ее (в кроссовках) к безопасному, изолированному от сети компьютеру.
5. Обработайте данные локально с помощью настольного программного обеспечения, такого как Pix4Dfields или Agisoft Metashape.

Этот метод гарантирует, что даже если дрон захочет передать данные, он физически не сможет этого сделать.

Иерархия хранения данных

Изучите эту иерархию, чтобы решить, какой уровень риска приемлем для вашей фермы.

Контролируя конечную точку хранения, вы делаете происхождение оборудования неважным для безопасности ваших данных.

Заключение

Обеспечение безопасности ваших сельскохозяйственных данных при использовании китайских дронов требует проактивного подхода, а не просто слепого доверия. Вы должны проверять происхождение оборудования по спискам NDAA, настраивать программное обеспечение для блокировки передачи иностранных данных, требовать строгие сертификаты безопасности, такие как SOC 2, и обеспечивать соблюдение строгих протоколов локального хранения. Приняв эти меры, вы сможете использовать передовые технологии дронов, сохраняя при этом конфиденциальные данные вашей фермы в безопасности на американской земле.

Сноски

1. Официальная страница AICPA с объяснением отчетности SOC для сервисных организаций. ↩︎

2. Общая информация о концепции конфиденциальности информации и данных. ↩︎

3. Официальный законодательный текст закона, содержащий раздел 848, касающийся китайских БПЛА. ↩︎

4. Официальный правительственный список коммуникационного оборудования, представляющего угрозу национальной безопасности. ↩︎

5. Официальный список одобренных систем дронов Министерства обороны США. ↩︎

6. Официальное законодательство, запрещающее FCC авторизацию оборудования из Списка охваченных. ↩︎

7. Официальный стандарт систем менеджмента информационной безопасности. ↩︎

8. Официальный сайт основного американского облачного провайдера, упомянутого как вариант хостинга. ↩︎

9. Официальный сайт основного американского облачного провайдера, упомянутого как вариант хостинга. ↩︎

10. Документация о том, как AWS обрабатывает конфиденциальность и резидентность данных. ↩︎