IoT Cybersecurity Act lægger sikkerhedsbyrden på enhedsproducenter

IoT Cybersecurity Act er en god start for IoT-professionelle til at implementere flere sikkerhedsfunktioner på enheder. Men at sikre aktiver gennem proaktive foranstaltninger, herunder sårbarhedsvurderinger og afsløringsprogrammer, er muligheder, der kan støtte det bredere bygherresamfund i kampen mod dårlige aktører.

Underskrevet i loven i december 2020, den topartisk lovgivning tvinger enhver Internet of Things (IoT)-enhed købt med offentlige penge til opfylde minimumssikkerhedsstandarder.

Mens loven betyder, at regeringer kan forvente mere sikre IoT-enheder, påhviler det bygherrer og enhedsproducenter at styrke enhedssikkerheden.

Bygherrer skal handle nu for at sikre enheder

Implementering af sikkerhedsforanstaltninger er blevet mere afgørende for dem, der leverer til regeringen, selvom det bredere IoT-landskab nogle gange karakteriseres som det vilde vesten på grund af dets mangel på strenge, fælles sikkerhedsstandarder.

På trods af det er det dog yderst vigtigt, at enhedsproducenter implementerer cybersikkerhedsforanstaltninger nu, understregede grundlægger og administrerende direktør for IoT-sikkerhedssoftwarefirmaet BG Networks, Colin Duggan. Han advarede om, at IoT-enheder er primære mål for ondsindet aktivitet.

Der er absolut ingen tvivl om, at nu og i fremtiden leder kriminelle og modstridende nationalstater efter og afslører svagheder i IoT-enheder, der er forbundet til netværk – ligesom de i øjeblikket afslører svagheder i it-systemer, sagde han.

Duggan foreslog, at ondsindede aktører konstant tester grænserne for deres mål. De seneste Verkada sikkerhedskamera hacks fremhæve, at disse aktører ikke har brug for klare motiverende hensigter bag sig, da et påstået ideologisk synspunkt drev et ønske om at trænge ind i enheder.

Det amerikanske National Institute of Standards and Technology (NIST) har fastlagt Cybersikkerhedsramme, men det er ikke en ensartet tilgang.

Bygherrer og enhedsproducenter bør bemærke, at nogle enheder skal være mere sikre end andre - enten er de data, de indeholder, mere følsomme eller brud kan forårsage potentielle sikkerheds- eller driftsproblemer, da mange IoT-enheder kontrollerer fysiske ting og handlinger, sagde Duggan.

Yaniv Nissenboim, VP for forretningsudvikling hos Vdoo, gentog Duggan og indikerede, at enhedsproducenter bør begynde at "kortlægge disse retningslinjer nu", så de kan være klar til at handle og afbøde dem, når de nye regler virkelig tager form.

Langsigtet indvirkning af IoT Cybersecurity Act

På kort sigt vil IoT-enheders cybersikkerhed ikke længere blive betragtet som en eftertanke, hvor det private marked får et skinnende lys på himlen til efterfølgelse som eksempel.

Den langsigtede virkning af loven lægger imidlertid større byrde på enhedsproducenter til at tænke grundigt over sikkerhedsimplementeringer.

Brian Carpenter, direktør for forretningsudvikling hos CyberArk, understregede, at enhedsproducenter og -byggere bør overveje, hvordan disse verserende regler vil blive håndhævet, og hvordan kunder kan administrere og sikre forbindelser til og fra IoT-enheder.

"Kunder ... vil ikke have mere skjulte sikkerhedsløsninger, der styrer en del af deres risiko - de har brug for et enkelt overblik over deres risici for at styre det korrekt," sagde Carpenter.

IoT-byggere, der skaber enheder med øgede og effektive foranstaltninger, såsom sikre firmwareopdateringer, patches og identitetsstyring, vil være i stand til at passe ind i deres kunders risikobegrænsende strategier og opnå en konkurrencefordel, sagde han.

Bygherrer og enhedsproducenter var ikke i fokus for denne lovgivning – efter at amerikanske politikere i to partier foretog en overflod af lovgivningsmæssige ændringer med det formål at forhindre slyngelstater i at blande sig i landets teknologiske infrastruktur. Selvom dette problem er vokset over tid, med flere stykker lovgivning, der sigter mod at begrænse kaos forårsaget af f.eks. Rusland, Kina, Iranog Nordkorea, vil denne særlige ændring helt sikkert hjælpe bygherrer på lang sigt.

Ved at give retningslinjer for, hvad der udgør stærk sikkerhed, bliver producenterne nødt til i sidste ende at opfylde kundernes behov, med NIST's retningslinjer, der sandsynligvis vil forvandle sig til ny lovgivning, enten på føderalt eller statsligt niveau, foreslog Carpenter.

En bred definition er en god definition

Duggan sagde, at lovgivningens definition for IoT-enheder "er god, fordi enheder med netværksgrænseflader potentielt kan tilføje sårbarheder til netværket".

IoT Cybersecurity Act's definition af, hvad der udgør en IoT-enhed anfører: en enhed skal "have mindst én transducer (sensor eller aktuator) til at interagere direkte med den fysiske verden, have mindst én netværksgrænseflade."

Duggan sagde, at dette betyder, at loven kaster et bredt net, samtidig med at det er klart, at smartphones eller bærbare computere ikke er inkluderet, da "implementering af cybersikkerhedsfunktioner allerede er godt forstået."

Begrænsningen, han pegede på, vedrørte imidlertid mangel på et specifikt mandat, som ville tvinge offentlige myndigheder til at tilføje cybersikkerhed til enheder.

Duggan henviste til De Forenede Nationers Økonomiske Kommission for Europa (UNECE) WP.29 bilregler, som angiver, at inden juli 2024 alle nyproducerede køretøjer skal omfatte cybersikkerhed baseret på en security-by-design tilgang og er i stand til at udføre softwareopdateringer.

Han beskrev, at IoT Cybersecurity Act var "ikke så stærk som UNECE-kravene", og at det med hensyn til forbedring af sikkerheden ville være et godt skridt at matche, hvad UNECE gør. "Denne [UNECE]-regulering tvinger ændringer i bilindustrien til bredt at implementere den nødvendige cybersikkerhed i biler," tilføjede han.

Med hensyn til andre begrænsninger på enhedsproducenter og -byggere mindede Nissenboim om, at loven kun gælder for virksomheder, der sælger IoT-enheder til den føderale regering. På trods af dette indrømmede han dog, at statslige regeringer og private virksomheder også vil forsøge at vedtage dets principper og retningslinjer.

"Derudover er der en voksende mængde af internationale IoT-cybersikkerhedsstandarder og -regler under udvikling," sagde han og tilføjede, at reglerne vil hjælpe med at fremtvinge højere sikkerhedsniveauer på de milliarder af tilsluttede enheder, der produceres hvert år i forskellige sektorer.

Problemer, der stadig skal løses med IoT Cybersecurity Act

Mens regler er blevet rost af observatører, er der stadig problemer for enhedsproducenter og -byggere - især dem, der ikke sælger til den amerikanske regering.

Bygherrer er nødt til at stå tilbage for at evaluere de rullende konsekvenser af handlingen. Selvom loven ikke tvinger dem til at implementere sikkerhedsevalueringer på enheder, men da antallet af angreb stiger i vejret, kan vejledningen være påkrævet for at afbøde brud.

Nissenboim sagde, at sådanne analyser og overvågning skal automatiseres og styres af både produktsikkerheds- og tekniske interessenter, som bliver nødt til at påtage sig disse vigtige processer.

CyberArks Carpenter advarede om, at fjernforbindelser til IoT-enheder stadig byder på en stor udfordring med hensyn til firmwareopdateringer, legitimationsstyring og vedligeholdelse.

Carpenter udtrykte håb om at se nogle relateret til de i øjeblikket uregulerede spørgsmål i de endelige retningslinjer; "især da arbejdsstyrken fortsætter med at sprede sig," tilføjede han.