IoT Cybersecurity Act Menempatkan Tanggung Jawab Keamanan pada Pembuat Perangkat on

Undang-Undang Keamanan Siber IoT adalah awal yang baik bagi para profesional IoT untuk menerapkan lebih banyak fitur keamanan pada perangkat. Namun, mengamankan aset melalui langkah-langkah proaktif, termasuk penilaian kerentanan dan program pengungkapan informasi merupakan pilihan yang dapat mendukung komunitas pembangun yang lebih luas dalam memerangi pelaku kejahatan.

Ditandatangani menjadi undang-undang pada bulan Desember 2020, legislasi bipartisan memaksa perangkat Internet of Things (IoT) apa pun yang dibeli dengan uang pemerintah memenuhi standar keamanan minimum.

Meskipun undang-undang ini berarti bahwa pemerintah dapat mengharapkan perangkat IoT yang lebih aman, namun tanggung jawab ada pada pembuat dan pembuat perangkat untuk meningkatkan keamanan perangkat.

Pengembang Perlu Bertindak Sekarang untuk Mengamankan Perangkat

Menerapkan langkah-langkah keamanan menjadi semakin penting bagi mereka yang memasok ke pemerintah, meskipun lanskap IoT yang lebih luas kadang-kadang dianggap sebagai Wild West karena kurangnya standar keamanan umum yang ketat.

Meskipun demikian, sangatlah penting bagi para pembuat perangkat untuk menerapkan langkah-langkah keamanan siber sekarang juga, tegas pendiri dan CEO perusahaan perangkat lunak keamanan IoT BG Networks, Colin Duggan. Dia memperingatkan bahwa perangkat IoT adalah target utama aktivitas jahat.

Tidak ada keraguan sama sekali bahwa saat ini dan di masa depan para penjahat dan negara-negara yang bermusuhan sedang mencari dan mengungkap kelemahan pada perangkat IoT yang terhubung ke jaringan – sama seperti mereka saat ini mengungkap kelemahan dalam sistem TI, katanya.

Duggan menyarankan agar aktor jahat terus-menerus menguji batas target mereka Peretasan kamera keamanan Verkadas menyoroti bahwa para pelaku ini tidak memerlukan motif yang jelas di belakang mereka, karena dugaan sudut pandang ideologis mendorong keinginan untuk menembus perangkat.

Institut Standar dan Teknologi Nasional AS (NIST) telah menyusun Kerangka Kerja Keamanan Siber, tapi ini bukanlah pendekatan yang bisa diterapkan untuk semua orang.

Para pembuat dan pembuat perangkat harus menyadari bahwa beberapa perangkat harus lebih aman dibandingkan perangkat lainnya – baik data yang dikandungnya lebih sensitif atau pelanggaran dapat menyebabkan potensi masalah keselamatan atau operasional karena banyak perangkat IoT yang mengontrol benda dan tindakan fisik, kata Duggan.

Yaniv Nissenboim, VP pengembangan bisnis di Vdoo, senada dengan Duggan, dengan menyatakan bahwa pembuat perangkat harus mulai “memetakan pedoman ini sekarang” sehingga mereka siap untuk bertindak dan memitigasinya setelah peraturan baru benar-benar terbentuk.

Dampak Jangka Panjang dari Undang-Undang Keamanan Siber IoT

Dalam jangka pendek, keamanan siber perangkat IoT tidak lagi dianggap sebagai sebuah hal yang hanya sekedar renungan, dan pasar swasta akan mendapat contoh yang baik.

Namun, dampak jangka panjang dari tindakan ini memberikan tanggung jawab yang lebih besar pada pembuat perangkat untuk berpikir keras mengenai penerapan keamanan.

Brian Carpenter, direktur pengembangan bisnis di CyberArk, menekankan bahwa produsen dan pembuat perangkat harus mempertimbangkan bagaimana peraturan yang tertunda ini akan ditegakkan dan bagaimana pelanggan dapat mengelola dan mengamankan koneksi ke dan dari perangkat IoT.

“Pelanggan… tidak menginginkan solusi keamanan yang lebih tertutup dalam mengelola sebagian risiko mereka – mereka memerlukan pandangan tunggal mengenai risiko mereka untuk mengelolanya dengan benar,” kata Carpenter.

Pembuat IoT yang menciptakan perangkat dengan langkah-langkah yang lebih baik dan efektif, seperti pembaruan firmware yang aman, patch, dan manajemen identitas, akan dapat menyesuaikan diri dengan strategi mitigasi risiko pelanggan mereka dan mendapatkan keunggulan kompetitif, katanya.

Pembangun dan pembuat perangkat tidak menjadi fokus dari undang-undang ini – setelah politisi bipartisan AS melakukan banyak perubahan peraturan yang bertujuan untuk membatasi negara-negara nakal untuk ikut campur dalam infrastruktur teknologi negara tersebut. Meskipun isu tersebut telah berkembang seiring berjalannya waktu, dengan beberapa undang-undang yang bertujuan untuk mengekang kerusakan yang disebabkan oleh hal-hal seperti itu Rusia, Tiongkok, Iran, dan Korea Utara, perubahan khusus ini tentu akan membantu pembangun dalam jangka panjang.

Dengan memberikan pedoman tentang apa yang dimaksud dengan keamanan yang kuat, produsen pada akhirnya harus memenuhi kebutuhan pelanggan, dan pedoman NIST kemungkinan besar akan diubah menjadi undang-undang baru, baik di tingkat federal atau negara bagian, saran Carpenter.

Definisi yang Luas adalah Definisi yang Baik

Duggan mengatakan bahwa definisi undang-undang untuk perangkat IoT “baik karena perangkat dengan antarmuka jaringan berpotensi menambah kerentanan pada jaringan”.

Undang-Undang Keamanan Siber IoT definisi tentang apa yang dimaksud dengan perangkat IoT menyatakan: suatu perangkat harus “memiliki setidaknya satu transduser (sensor atau aktuator) untuk berinteraksi langsung dengan dunia fisik, memiliki setidaknya satu antarmuka jaringan.”

Duggan mengatakan bahwa hal ini berarti undang-undang tersebut memberikan jaring yang luas dan juga memperjelas bahwa ponsel pintar atau laptop tidak termasuk dalam kategori ini karena ‘implementasi fitur keamanan siber sudah dipahami dengan baik.’

Namun keterbatasan yang ia tunjukkan adalah kurangnya mandat khusus yang akan memaksa lembaga pemerintah untuk menambahkan keamanan siber pada perangkatnya.

Duggan merujuk pada Komisi Ekonomi PBB untuk Eropa (UNECE) Peraturan otomotif WP.29, yang menyatakan bahwa pada Juli 2024 semua kendaraan baru diproduksi harus mencakup keamanan siber berdasarkan pendekatan keamanan sesuai desain dan mampu melakukan pembaruan perangkat lunak.

Ia menggambarkan UU Keamanan Siber IoT “tidak sekuat persyaratan UNECE,” dan bahwa dalam hal meningkatkan keamanan, mencocokkan apa yang dilakukan UNECE akan menjadi langkah yang baik. “Peraturan [UNECE] tersebut memaksa perubahan dalam industri otomotif untuk menerapkan secara luas keamanan siber yang dibutuhkan pada mobil,” tambahnya.

Mengenai batasan lain yang dikenakan pada pembuat dan pembuat perangkat, Nissenboim mengingatkan bahwa undang-undang tersebut hanya berlaku untuk perusahaan yang menjual perangkat IoT kepada pemerintah federal. Meskipun demikian, ia mengakui bahwa pemerintah negara bagian dan perusahaan swasta juga akan berupaya untuk mengadopsi prinsip dan pedomannya.

“Selain itu, terdapat semakin banyak standar dan peraturan keamanan siber internasional IoT yang sedang dikembangkan,” katanya, seraya menambahkan bahwa peraturan tersebut akan membantu memaksakan tingkat keamanan yang lebih tinggi pada miliaran perangkat terhubung yang diproduksi setiap tahun di berbagai sektor.

Masalah yang Masih Harus Ditangani dengan UU Keamanan Siber IoT

Meskipun peraturan tersebut mendapat pujian dari para pengamat, masih terdapat permasalahan yang dihadapi oleh pembuat dan pembuat perangkat – terutama mereka yang tidak menjual perangkat tersebut kepada pemerintah AS.

Para pembangun harus mengambil langkah mundur untuk mengevaluasi dampak lanjutan dari tindakan tersebut. Meskipun undang-undang tidak memaksa mereka untuk menerapkan evaluasi keamanan pada perangkat, namun seiring dengan meroketnya jumlah serangan, panduan ini mungkin diperlukan untuk menangkis pelanggaran.

Nissenboim mengatakan analisis dan pemantauan tersebut harus diotomatisasi dan dikelola oleh pemangku kepentingan keamanan produk dan teknik yang harus mengambil alih proses penting ini.

Carpenter dari CyberArk memperingatkan bahwa koneksi jarak jauh ke perangkat IoT masih memberikan tantangan besar dalam hal pembaruan firmware, manajemen kredensial, dan pemeliharaan.

Carpenter menyatakan harapannya untuk melihat beberapa hal yang terkait dengan isu-isu yang saat ini tidak diatur dalam pedoman akhir; “terutama karena angkatan kerja terus bertambah banyak,” tambahnya.