IoT-kyberturvallisuuslailla laitetaan tietoturva-asia laitevalmistajille

IoT:n kyberturvallisuuslaki on hyvä alku IoT-ammattilaisille ottaa käyttöön lisää tietoturvaominaisuuksia laitteissa. Omaisuuden turvaaminen ennakoivilla toimilla, mukaan lukien haavoittuvuusarvioinnit ja julkistamisohjelmat, ovat kuitenkin vaihtoehtoja, jotka voivat tukea laajempaa rakentajayhteisöä taistelussa huonoja toimijoita vastaan.

Joulukuussa 2020 allekirjoitettu laki kahden puolueen lainsäädäntö pakottaa kaikki valtion rahoilla ostetut Internet of Things (IoT) -laitteet täyttävät vähimmäisturvastandardit.

Vaikka laki tarkoittaa, että hallitukset voivat odottaa turvallisempia IoT-laitteita, rakentajien ja laitevalmistajien velvollisuus on vahvistaa laitteiden turvallisuutta.

Rakentajien on toimittava nyt turvatakseen laitteet

Turvatoimien toteuttamisesta on tullut entistä tärkeämpää hallitukselle toimittajille, vaikka laajempaa IoT-maisemaa luonnehditaan joskus villiksi länneksi, koska siinä ei ole tiukkoja yhteisiä turvallisuusstandardeja.

Siitä huolimatta on kuitenkin erittäin tärkeää, että laitevalmistajat ottavat kyberturvallisuustoimenpiteet käyttöön nyt, painotti IoT-tietoturvaohjelmistoyhtiön BG Networksin perustaja ja toimitusjohtaja Colin Duggan. Hän varoitti, että IoT-laitteet ovat haitallisen toiminnan ensisijaisia ​​kohteita.

Ei ole epäilystäkään siitä, että nyt ja tulevaisuudessa rikolliset ja kilpailevat kansallisvaltiot etsivät ja paljastavat heikkouksia verkkoon kytketyissä IoT-laitteissa – aivan kuten ne tällä hetkellä paljastavat IT-järjestelmien heikkouksia, hän sanoi.

Duggan ehdotti, että pahantahtoiset toimijat jatkuvasti testaavat kohteidensa rajoja Verkada turvakameran hakkerointis korostaa, että nämä toimijat eivät tarvitse selkeitä motiiveja takanaan, sillä väitetty ideologinen näkökulma ajoi halun tunkeutua laitteisiin.

Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) on laatinut Kyberturvallisuuskehys, mutta se ei ole yksi kokoinen lähestymistapa.

Rakentajien ja laitevalmistajien tulee huomioida, että joidenkin laitteiden on oltava turvallisempia kuin toisten – joko niiden sisältämä data on herkempää tai tietomurrot voivat aiheuttaa mahdollisia turvallisuus- tai toimintaongelmia, koska monet IoT-laitteet ohjaavat fyysisiä asioita ja toimintoja, Duggan sanoi.

Yaniv Nissenboim, Vdoon liiketoiminnan kehitysjohtaja, toisti Dugganin ja huomautti, että laitevalmistajien tulisi alkaa "kartoittaa näitä ohjeita nyt", jotta he voivat olla valmiita toimimaan ja lieventämään niitä, kun uudet määräykset todella muotoutuvat.

IoT:n kyberturvallisuuslain pitkän aikavälin vaikutus

Lyhyellä aikavälillä IoT-laitteiden kyberturvallisuutta ei enää pidetä jälkikäteen, vaan yksityisille markkinoille annetaan loistaa valo taivaalla esimerkkinä.

Lain pitkän aikavälin vaikutus asettaa kuitenkin laitevalmistajille suuremman taakan pohtia tarkasti tietoturvatoteutuksia.

Brian Carpenter, CyberArkin liiketoimintakehitysjohtaja, korosti, että laitevalmistajien ja rakentajien tulisi harkita, kuinka nämä vireillä olevat määräykset pannaan täytäntöön ja kuinka asiakkaat voivat hallita ja suojata yhteyksiä IoT-laitteisiin ja niistä.

"Asiakkaat… eivät halua enemmän suojattuja tietoturvaratkaisuja, jotka hallitsevat osan heidän riskeistään - he tarvitsevat yhden näkemyksen riskeistään hallitakseen niitä oikein", Carpenter sanoi.

Hän sanoi, että IoT-rakentajat, jotka luovat laitteita tehostetuilla ja tehokkailla toimenpiteillä, kuten turvallisilla laiteohjelmistopäivityksillä, korjaustiedostoilla ja identiteetin hallinnalla, voivat sopeutua asiakkaidensa riskinhallintastrategioihin ja saada kilpailuetua.

Rakentajat ja laitevalmistajat eivät olleet tämän lainsäädännön keskipisteenä – sen jälkeen, kun Yhdysvaltojen molempien puolueiden poliitikot tekivät joukon lainsäädännöllisiä muutoksia, joiden tarkoituksena oli estää roistovaltioita puuttumasta maan teknologiseen infrastruktuuriin. Vaikka tämä ongelma on kasvanut ajan myötä, useilla säädöksillä on pyritty hillitsemään esim. Venäjä, Kiina, Iranja Pohjois-KoreaTämä muutos auttaa rakentajia varmasti pitkällä aikavälillä.

Antamalla ohjeita siitä, mikä muodostaa vahvan turvallisuuden, valmistajien on viime kädessä täytettävä asiakkaiden tarpeet, ja NISTin ohjeet todennäköisesti muuttuvat uudeksi lainsäädännöksi joko liittovaltion tai osavaltion tasolla, Carpenter ehdotti.

Laaja määritelmä on hyvä määritelmä

Duggan sanoi, että lain määritelmä IoT-laitteille "on hyvä, koska verkkoliitännöillä varustetut laitteet voivat mahdollisesti lisätä verkkoon haavoittuvuuksia".

IoT:n kyberturvallisuuslaki IoT-laitteen määritelmä todetaan: Laitteessa on oltava "vähintään yksi anturi (anturi tai toimilaite), joka on vuorovaikutuksessa suoraan fyysisen maailman kanssa, siinä on oltava vähintään yksi verkkoliitäntä."

Duggan sanoi, että tämä tarkoittaa, että laki luo laajan verkon, mutta on myös selvää, että älypuhelimet tai kannettavat tietokoneet eivät kuulu mukaan, koska "kyberturvallisuusominaisuuksien käyttöönotto on jo hyvin ymmärretty".

Hänen mainitsemansa rajoitus koski kuitenkin erityisen toimeksiannon puutetta, joka pakottaisi valtion virastot lisäämään kyberturvallisuutta laitteisiin.

Duggan viittasi Yhdistyneiden Kansakuntien Euroopan talouskomissioon (UNECE) WP.29 autoalan määräykset, joissa todetaan, että heinäkuuhun 2024 mennessä kaikki uudet ajoneuvot on sisällettävä kyberturvallisuus, joka perustuu tietoturvaan suunnitteluun ja pystyvät suorittamaan ohjelmistopäivityksiä.

Hän kuvaili IoT:n kyberturvallisuutta koskevaa lakia "ei niin vahvana kuin UNECE:n vaatimukset" ja että turvallisuuden parantamisen kannalta UNECE:n toiminnan yhteensovittaminen olisi hyvä askel. "Tämä [UNECE]-asetus pakottaa muutoksen autoteollisuuteen ottamaan laajalti käyttöön tarvittavan kyberturvallisuuden autoissa", hän lisäsi.

Muiden laitevalmistajille ja rakentajille asetettujen rajoitusten osalta Nissenboim muistutti, että laki koskee vain IoT-laitteita liittovaltiolle myyviä yrityksiä. Tästä huolimatta hän myönsi, että myös osavaltioiden hallitukset ja yksityiset yritykset pyrkivät omaksumaan sen periaatteet ja suuntaviivat.

"Lisäksi kehitteillä on kasvava määrä kansainvälisiä IoT:n kyberturvallisuusstandardeja ja -säännöksiä", hän sanoi ja lisäsi, että määräykset auttavat pakottamaan korkeamman turvallisuustason miljardeihin kytkettyihin laitteisiin, joita tuotetaan vuosittain eri sektoreilla.

Ongelmia, joita on vielä käsiteltävä IoT:n kyberturvallisuuslain kanssa

Vaikka tarkkailijat ovat ylistäneet säännöksiä, laitevalmistajilla ja rakentajilla on edelleen ongelmia – erityisesti niillä, jotka eivät myy Yhdysvaltojen hallitukselle.

Rakentajien on vetäydyttävä arvioidakseen teon muuttuvia vaikutuksia. Vaikka laki ei pakota heitä toteuttamaan tietoturvaarviointeja laitteissa, mutta hyökkäysten määrän kasvaessa pilviin, opastusta voidaan tarvita rikkomusten torjumiseksi.

Nissenboim sanoi, että tällaiset analyysit ja valvonta on automatisoitava ja sekä tuoteturvallisuuden että suunnittelun sidosryhmien on hallittava nämä tärkeät prosessit.

CyberArkin Carpenter varoitti, että etäyhteydet IoT-laitteisiin tarjoavat edelleen suuren haasteen laiteohjelmistopäivityksien, tunnistetietojen hallinnan ja ylläpidon kannalta.

Carpenter toivoi näkevänsä lopullisissa suuntaviivoissa joitain noihin tällä hetkellä sääntelemättömiin asioihin liittyvää; "Varsinkin työvoiman lisääntyessä", hän lisäsi.