Ο νόμος για την ασφάλεια στον κυβερνοχώρο IoT θέτει βάρος ασφάλειας στους κατασκευαστές συσκευών

Ο νόμος για την κυβερνοασφάλεια του IoT είναι μια καλή αρχή για τους επαγγελματίες του IoT να εφαρμόσουν περισσότερες δυνατότητες ασφαλείας σε συσκευές. Ωστόσο, η διασφάλιση περιουσιακών στοιχείων μέσω προληπτικών μέτρων, συμπεριλαμβανομένων των αξιολογήσεων ευπάθειας και των προγραμμάτων αποκάλυψης, είναι επιλογές που θα μπορούσαν να στηρίξουν την ευρύτερη κοινότητα των κατασκευαστών στον αγώνα κατά των κακών παραγόντων.

Υπεγράφη σε νόμο τον Δεκέμβριο του 2020, η διμερής νομοθεσία αναγκάζει οποιαδήποτε συσκευή Διαδικτύου των Πραγμάτων (IoT) που αγοράζεται με κρατικά χρήματα πληρούν τα ελάχιστα πρότυπα ασφαλείας.

Ενώ ο νόμος σημαίνει ότι οι κυβερνήσεις μπορούν να αναμένουν πιο ασφαλείς συσκευές IoT, το βάρος βαρύνει τους κατασκευαστές και τους κατασκευαστές συσκευών να ενισχύσουν την ασφάλεια των συσκευών.

Οι κατασκευαστές πρέπει να δράσουν τώρα για να ασφαλίσουν τις συσκευές

Η εφαρμογή μέτρων ασφαλείας έχει γίνει πιο απαραίτητη για όσους προμηθεύουν την κυβέρνηση, παρόλο που το ευρύτερο τοπίο του IoT χαρακτηρίζεται μερικές φορές ως Άγρια Δύση, δεδομένης της έλλειψης αυστηρών, κοινών προτύπων ασφαλείας.

Παρόλα αυτά, ωστόσο, είναι εξαιρετικά σημαντικό οι κατασκευαστές συσκευών να εφαρμόζουν τώρα μέτρα κυβερνοασφάλειας, τόνισε ο ιδρυτής και διευθύνων σύμβουλος της εταιρείας λογισμικού ασφαλείας IoT BG Networks, Colin Duggan. Προειδοποίησε ότι οι συσκευές IoT αποτελούν πρωταρχικούς στόχους για κακόβουλη δραστηριότητα.

Δεν υπάρχει απολύτως καμία αμφιβολία ότι τώρα και στο μέλλον οι εγκληματίες και τα αντίπαλα εθνικά κράτη αναζητούν και εκθέτουν αδυναμίες σε συσκευές IoT που είναι συνδεδεμένες στο δίκτυο – ακριβώς όπως αυτή τη στιγμή εκθέτουν αδυναμίες στα συστήματα πληροφορικής, είπε.

Ο Ντούγκαν πρότεινε στους κακόβουλους ηθοποιούς να δοκιμάζουν συνεχώς τα όρια των στόχων τους .Το πρόσφατο Παραβίαση κάμερας ασφαλείας Verkadas υπογραμμίζουν ότι αυτοί οι ηθοποιοί δεν χρειάζονται ξεκάθαρο κίνητρο πίσω τους, καθώς μια υποτιθέμενη ιδεολογική άποψη οδήγησε την επιθυμία να διεισδύσουν σε συσκευές.

Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) έχει ορίσει το Πλαίσιο κυβερνοασφάλειας, αλλά δεν είναι μια προσέγγιση που ταιριάζει σε όλους.

Οι κατασκευαστές και οι κατασκευαστές συσκευών θα πρέπει να σημειώσουν ότι ορισμένες συσκευές πρέπει να είναι πιο ασφαλείς από άλλες – είτε τα δεδομένα που περιέχουν είναι πιο ευαίσθητα είτε οι παραβιάσεις θα μπορούσαν να προκαλέσουν πιθανά προβλήματα ασφάλειας ή λειτουργίας καθώς πολλές συσκευές IoT ελέγχουν φυσικά πράγματα και ενέργειες, είπε ο Duggan.

Ο Yaniv Nissenboim, Αντιπρόεδρος της επιχειρηματικής ανάπτυξης στο Vdoo, επανέλαβε τον Duggan, υποδεικνύοντας ότι οι κατασκευαστές συσκευών θα πρέπει να αρχίσουν «να αντιστοιχούν σε αυτές τις οδηγίες τώρα», ώστε να είναι έτοιμοι να δράσουν και να τις μετριάσουν μόλις διαμορφωθούν πραγματικά οι νέοι κανονισμοί.

Μακροπρόθεσμος αντίκτυπος του νόμου για την κυβερνοασφάλεια του IoT

Βραχυπρόθεσμα, η ασφάλεια στον κυβερνοχώρο των συσκευών IoT δεν θα θεωρείται πλέον μεταγενέστερη σκέψη, με την ιδιωτική αγορά να δίνεται ως παράδειγμα στον ουρανό.

Ο μακροπρόθεσμος αντίκτυπος της πράξης, ωστόσο, επιβάλλει μεγαλύτερο βάρος στους κατασκευαστές συσκευών να σκεφτούν σκληρά για τις υλοποιήσεις ασφάλειας.

Ο Brian Carpenter, διευθυντής επιχειρηματικής ανάπτυξης στο CyberArk, τόνισε ότι οι κατασκευαστές και οι κατασκευαστές συσκευών θα πρέπει να εξετάσουν πώς θα εφαρμοστούν αυτοί οι εκκρεμείς κανονισμοί και πώς οι πελάτες μπορούν να διαχειρίζονται και να ασφαλίζουν τις συνδέσεις προς και από συσκευές IoT.

«Οι πελάτες… δεν θέλουν πιο σιωπηρές λύσεις ασφάλειας που διαχειρίζονται ένα μέρος του κινδύνου τους – χρειάζονται μια ενιαία εικόνα των κινδύνων τους για να το διαχειριστούν σωστά», είπε ο Carpenter.

Οι κατασκευαστές IoT που δημιουργούν συσκευές με αυξημένα και αποτελεσματικά μέτρα, όπως ασφαλείς ενημερώσεις υλικολογισμικού, ενημερώσεις κώδικα και διαχείριση ταυτότητας, θα μπορούν να ενταχθούν στις στρατηγικές μετριασμού του κινδύνου των πελατών τους και να αποκτήσουν ανταγωνιστικό πλεονέκτημα, είπε.

Οι κατασκευαστές και οι κατασκευαστές συσκευών δεν ήταν το επίκεντρο αυτής της νομοθεσίας – αφού οι δικομματικοί πολιτικοί των ΗΠΑ έκαναν μια πληθώρα κανονιστικών αλλαγών με στόχο να περιορίσουν τα αδίστακτα κράτη από το να παρεμβαίνουν στην τεχνολογική υποδομή της χώρας. Ενώ αυτό το ζήτημα έχει αυξηθεί με την πάροδο του χρόνου, με πολλά νομοθετήματα που στοχεύουν να περιορίσουν τον όλεθρο που προκαλείται από Russia, Κίνα, Ιράν, να Βόρεια Κορέα, αυτή η συγκεκριμένη αλλαγή σίγουρα θα βοηθήσει τους κατασκευαστές μακροπρόθεσμα.

Παρέχοντας κατευθυντήριες γραμμές σχετικά με το τι συνιστά ισχυρή ασφάλεια, οι κατασκευαστές θα πρέπει τελικά να ανταποκριθούν στις ανάγκες των πελατών, με τις κατευθυντήριες γραμμές του NIST πιθανόν να μετατραπούν σε νέα νομοθεσία, είτε σε ομοσπονδιακό είτε σε πολιτειακό επίπεδο, πρότεινε ο Carpenter.

Ένας ευρύς ορισμός είναι ένας καλός ορισμός

Ο Duggan είπε ότι ο ορισμός της νομοθεσίας για τις συσκευές IoT «είναι καλός επειδή οι συσκευές με διεπαφές δικτύου μπορούν ενδεχομένως να προσθέσουν ευπάθειες στο δίκτυο».

Ο νόμος για την κυβερνοασφάλεια του IoT ορισμός του τι συνιστά μια συσκευή IoT δηλώνει: μια συσκευή πρέπει «να διαθέτει τουλάχιστον έναν μορφοτροπέα (αισθητήρα ή ενεργοποιητή) για άμεση αλληλεπίδραση με τον φυσικό κόσμο, να έχει τουλάχιστον μία διεπαφή δικτύου».

Ο Duggan είπε ότι αυτό σημαίνει ότι ο νόμος δίνει ένα ευρύ δίχτυ, ενώ είναι επίσης σαφές ότι τα smartphone ή οι φορητοί υπολογιστές δεν περιλαμβάνονται καθώς «η εφαρμογή των χαρακτηριστικών κυβερνοασφάλειας είναι ήδη καλά κατανοητή».

Ωστόσο, ο περιορισμός στον οποίο επεσήμανε αφορούσε την έλλειψη συγκεκριμένης εντολής που θα ανάγκαζε τις κυβερνητικές υπηρεσίες να προσθέσουν την ασφάλεια στον κυβερνοχώρο στις συσκευές.

Ο Ντούγκαν παρέπεμψε στην Οικονομική Επιτροπή των Ηνωμένων Εθνών για την Ευρώπη (UNECE) WP.29 κανονισμοί αυτοκινήτων, οι οποίες αναφέρουν ότι έως τον Ιούλιο του 2024 όλα τα νεοπαραγόμενα οχήματα πρέπει να περιλαμβάνει την ασφάλεια στον κυβερνοχώρο με βάση μια προσέγγιση ασφάλειας ανά σχεδιασμό και είναι σε θέση να πραγματοποιούν ενημερώσεις λογισμικού.

Περιέγραψε τον Νόμο για την Κυβερνοασφάλεια του IoT «δεν είναι τόσο ισχυρός όσο οι απαιτήσεις της UNECE» και ότι από την άποψη της βελτίωσης της ασφάλειας, η αντιστοίχιση με αυτό που κάνει η UNECE θα ήταν ένα καλό βήμα. «Αυτός ο κανονισμός [UNECE] αναγκάζει την αλλαγή στην αυτοκινητοβιομηχανία να εφαρμόσει σε γενικές γραμμές την απαραίτητη κυβερνοασφάλεια στα αυτοκίνητα», πρόσθεσε.

Όσον αφορά τους άλλους περιορισμούς που τίθενται στους κατασκευαστές και τους κατασκευαστές συσκευών, η Nissenboim υπενθύμισε ότι ο νόμος ισχύει μόνο για εταιρείες που πωλούν συσκευές IoT στην ομοσπονδιακή κυβέρνηση. Παρόλα αυτά, ωστόσο, παραδέχτηκε ότι οι κρατικές κυβερνήσεις και οι ιδιωτικές επιχειρήσεις θα προσπαθήσουν επίσης να υιοθετήσουν τις αρχές και τις κατευθυντήριες γραμμές του.

«Επιπλέον, υπάρχει ένα αυξανόμενο σύνολο διεθνών προτύπων και κανονισμών κυβερνοασφάλειας IoT υπό ανάπτυξη», είπε, προσθέτοντας ότι οι κανονισμοί θα βοηθήσουν να επιβάλουν υψηλότερα επίπεδα ασφάλειας στα δισεκατομμύρια συνδεδεμένες συσκευές που παράγονται κάθε χρόνο σε διάφορους τομείς.

Ζητήματα που πρέπει να αντιμετωπιστούν με τον Νόμο για την κυβερνοασφάλεια του IoT

Ενώ οι κανονισμοί έχουν επαινεθεί από τους παρατηρητές, εξακολουθούν να υπάρχουν προβλήματα για τους κατασκευαστές συσκευών και τους κατασκευαστές - ειδικά για αυτούς που δεν πωλούν στην κυβέρνηση των ΗΠΑ.

Οι οικοδόμοι πρέπει να σταθούν πίσω για να αξιολογήσουν τις κυλιόμενες επιπτώσεις της πράξης. Αν και ο νόμος δεν τους υποχρεώνει να εφαρμόζουν αξιολογήσεις ασφαλείας στις συσκευές, αλλά καθώς οι αριθμοί επιθέσεων εκτινάσσονται στα ύψη, ενδέχεται να απαιτείται η καθοδήγηση για την εκτροπή των παραβιάσεων.

Η Nissenboim είπε ότι τέτοιες αναλύσεις και παρακολούθηση θα πρέπει να αυτοματοποιούνται και να διαχειρίζονται τόσο από την ασφάλεια των προϊόντων όσο και από ενδιαφερόμενους φορείς μηχανικής που θα πρέπει να αναλάβουν αυτές τις σημαντικές διαδικασίες.

Ο Carpenter της CyberArk προειδοποίησε ότι οι απομακρυσμένες συνδέσεις με συσκευές IoT εξακολουθούν να προσφέρουν μια μεγάλη πρόκληση όσον αφορά τις ενημερώσεις υλικολογισμικού, τη διαχείριση διαπιστευτηρίων και τη συντήρηση.

Ο Carpenter εξέφρασε την ελπίδα ότι στις τελικές κατευθυντήριες γραμμές θα δει κάποια που σχετίζονται με αυτά τα επί του παρόντος μη ρυθμιζόμενα ζητήματα. «ιδιαίτερα καθώς το εργατικό δυναμικό συνεχίζει να πολλαπλασιάζεται», πρόσθεσε.