חוק IoT אבטחה מציב אבטחה על יצרני מכשירים

חוק ה-IoT Cybersecurity הוא התחלה טובה עבור מקצועני ה-IoT ליישם יותר תכונות אבטחה במכשירים. עם זאת, אבטחת נכסים באמצעות אמצעים יזומים, כולל הערכות פגיעות ותוכניות גילוי הן אפשרויות שיכולות לתמוך בקהילת הבונים הרחבה יותר במאבק נגד שחקנים רעים.

נחתם לחוק בדצמבר 2020, ה חקיקה דו -מפלגתית מאלץ כל מכשיר אינטרנט של הדברים (IoT) שנרכש בכסף ממשלתי לעשות זאת לעמוד בתקני אבטחה מינימליים.

בעוד שהחוק אומר שממשלות יכולות לצפות למכשירי IoT מאובטחים יותר, האחריות היא על בונים ויצרניות מכשירים כדי לחזק את אבטחת המכשירים.

בונים צריכים לפעול עכשיו כדי לאבטח מכשירים

יישום אמצעי אבטחה הפך חיוני יותר עבור אלה המספקים לממשלה, למרות שנוף ה-IoT הרחב יותר מאופיין לפעמים כמערב הפרוע בהיעדר תקני אבטחה קפדניים ומשותפים.

עם זאת, למרות זאת, חשוב מאוד שיצרניות המכשירים יישמו אמצעי אבטחת סייבר כעת, הדגיש המייסד והמנכ"ל של חברת תוכנת האבטחה IoT BG Networks, קולין דוגן. הוא הזהיר שמכשירי IoT הם יעדים עיקריים לפעילות זדונית.

אין ספק שעכשיו ובעתיד פושעים ומדינות לאום יריבות מחפשים וחושפים חולשות במכשירי IoT שמחוברים לרשת - בדיוק כמו שהם חושפים כיום חולשות במערכות IT, אמר.

Duggan הציע ששחקנים זדוניים בודקים כל הזמן את גבולות המטרות שלהם. לאחרונה פריצת מצלמת אבטחה של Verkadas הדגישו כי השחקנים הללו אינם זקוקים לכוונת מניע ברורה מאחוריהם, שכן נקודת מבט אידיאולוגית לכאורה גרמה לרצון לחדור למכשירים.

המכון הלאומי לתקנים וטכנולוגיה של ארה"ב (NIST) קבע את מסגרת אבטחת סייבר, אבל זו לא גישה מתאימה לכולם.

בונים ויצרני מכשירים צריכים לשים לב שחלק מהמכשירים צריכים להיות מאובטחים יותר מאחרים - או שהנתונים שהם מכילים רגישים יותר או שהפרצות עלולות לגרום לבעיות בטיחות או תפעול פוטנציאליות מכיוון שמכשירי IoT רבים שולטים בדברים ובפעולות פיזיות, אמר דוגן.

יניב ניסנבוים, סמנכ"ל הפיתוח העסקי ב-Vdoo, הדהד את Duggan, והצביע על כך שיצרניות המכשירים צריכות להתחיל "לבצע מיפוי להנחיות האלה עכשיו", כדי שיוכלו להיות מוכנים לפעול ולמתן אותן ברגע שהתקנות החדשות באמת יתגבשו.

ההשפעה ארוכת הטווח של חוק אבטחת הסייבר של IoT

בטווח הקצר, אבטחת סייבר של מכשירי IoT כבר לא תיחשב למחשבה שלאחר מכן, כאשר לשוק הפרטי ניתן אור זוהר בשמיים כדי להופיע כדוגמה.

עם זאת, ההשפעה ארוכת הטווח של המעשה מטילה אחריות גדולה יותר על יצרני המכשירים לחשוב היטב על יישומי אבטחה.

בריאן קרפנטר, מנהל הפיתוח העסקי ב-CyberArk, הדגיש שיצרני ובוני מכשירים צריכים לשקול כיצד ייאכפו תקנות תלויות ועומדות אלה וכיצד לקוחות יכולים לנהל ולאבטח חיבורים אל וממכשירי IoT.

"לקוחות... לא רוצים יותר פתרונות אבטחה מושחתים שמנהלים חלק מהסיכון שלהם - הם צריכים תצוגה אחת של הסיכונים שלהם כדי לנהל אותו כראוי", אמר קרפנטר.

בוני IoT שיוצרים מכשירים עם אמצעים מוגברים ויעילים, כמו עדכוני קושחה מאובטחים, תיקונים וניהול זהויות, יוכלו להשתלב באסטרטגיות הפחתת הסיכונים של הלקוחות שלהם ולהשיג יתרון תחרותי, אמר.

בונים ויצרני מכשירים לא היו המוקד של חקיקה זו - לאחר שפוליטיקאים דו-מפלגיים בארה"ב ביצעו שפע של שינויים רגולטוריים שמטרתם לבלום מדינות נוכלות מלהתערב בתשתית הטכנולוגית של המדינה. אמנם הנושא הזה גדל עם הזמן, עם כמה סעיפי חקיקה שמטרתם לרסן הרס שנגרם על ידי רוסיה, סין, אירן, ו צפון קוריאה, השינוי המסוים הזה בהחלט יעזור לבונים בטווח הארוך.

על ידי מתן הנחיות לגבי מהי אבטחה חזקה, היצרנים יצטרכו בסופו של דבר לענות על צרכי הלקוחות, כאשר ההנחיות של NIST עשויות להפוך לחקיקה חדשה, ברמה הפדרלית או המדינתית, הציע קרפנטר.

הגדרה רחבה היא הגדרה טובה

Duggan אמר כי הגדרת החקיקה למכשירי IoT "טובה מכיוון שמכשירים עם ממשקי רשת יכולים להוסיף נקודות תורפה לרשת".

חוק אבטחת הסייבר של IoT הגדרה של מהו מכשיר IoT קובע: למכשיר חייב להיות "לפחות מתמר אחד (חיישן או מפעיל) לאינטראקציה ישירה עם העולם הפיזי, שיהיה לו לפחות ממשק רשת אחד."

דאגן אמר שמשמעות הדבר היא שהחוק משליך רשת רחבה תוך שהוא גם ברור שסמארטפונים או מחשבים ניידים אינם כלולים מכיוון ש'יישום תכונות אבטחת סייבר כבר מובן היטב'.

עם זאת, המגבלה שעליה הצביע נוגעת להיעדר מנדט ספציפי שיאלץ סוכנויות ממשלתיות להוסיף אבטחת סייבר למכשירים.

דוגן התייחס לוועדה הכלכלית של האו"ם לאירופה (UNECE) WP.29 תקנות הרכב, אשר קובעים כי עד יולי 2024 כל כלי הרכב החדשים שיוצרו חייב לכלול אבטחת סייבר המבוססת על גישה של אבטחה לפי עיצוב והם מסוגלים לבצע עדכוני תוכנה.

הוא תיאר את חוק אבטחת הסייבר של IoT "לא חזק כמו הדרישות של UNECE", ושמבחינת שיפור האבטחה, התאמה למה ש-UNECE עושה תהיה צעד טוב. "הרגולציה של [UNECE] מאלצת שינוי בתעשיית הרכב ליישם באופן נרחב את אבטחת הסייבר הדרושה במכוניות", הוסיף.

מבחינת מגבלות אחרות המוטלות על יצרניות ובוני מכשירים, ניסנבוים הזכיר כי החוק חל רק על חברות שמוכרות מכשירי IoT לממשלה הפדרלית. עם זאת, למרות זאת, הוא הודה שגם ממשלות מדינה ומיזמים פרטיים ינסו לאמץ את העקרונות וההנחיות שלה.

"בנוסף, ישנו גוף הולך וגדל של תקני אבטחת סייבר ותקנות IoT בינלאומיים בפיתוח", אמר, והוסיף כי התקנות יסייעו לכפות רמות אבטחה גבוהות יותר על מיליארדי המכשירים המחוברים המיוצרים מדי שנה במגזרים שונים.

בעיות שעדיין יש לטפל בהן עם חוק אבטחת הסייבר של IoT

בעוד שהתקנות זכו לשבחים על ידי משקיפים, נותרו בעיות עבור יצרני ובוני מכשירים - במיוחד אלה שאינם מוכרים לממשלת ארה"ב.

בונים צריכים לעמוד מאחור כדי להעריך את ההשלכות המתגלגלות של המעשה. אמנם החוק לא מאלץ אותם ליישם הערכות אבטחה במכשירים, אך ככל שמספרי התקיפות מרקיעים שחקים, ייתכן שההדרכה תידרש כדי להסיט את הפרות.

ניסנבוים אמר כי ניתוחים וניטור מסוג זה יצטרכו להיות אוטומטיים ומנוהלים על ידי מחזיקי עניין באבטחת המוצר והן בהנדסה, שיצטרכו לקחת על עצמם את התהליכים החשובים הללו.

Carpenter של CyberArk הזהיר כי חיבורים מרוחקים למכשירי IoT עדיין מציעים אתגר גדול במונחים של עדכוני קושחה, ניהול אישורים ותחזוקה.

נגר הביע תקווה לראות כמה הקשורים לאותם נושאים שאינם מוסדרים כרגע בהנחיות הסופיות; "במיוחד כשכוח העבודה ממשיך להתרבות", הוסיף.