IoT 사이버 보안법은 장치 제조업체에 보안 책임을 부여합니다.

IoT 사이버 보안법은 IoT 전문가가 장치에 더 많은 보안 기능을 구현하기 위한 좋은 시작입니다. 그러나 취약성 평가 및 공개 프로그램을 포함한 사전 조치를 통해 자산을 확보하는 것은 악의적인 행위자와의 싸움에서 더 넓은 빌더 커뮤니티를 뒷받침할 수 있는 옵션입니다.

2020년 XNUMX월에 법으로 서명되었으며, 초당적 입법 정부 자금으로 구입한 사물 인터넷(IoT) 장치를 강제로 최소 보안 기준 충족.

법에 따라 정부는 더욱 안전한 IoT 장치를 기대할 수 있지만, 장치 보안을 강화할 책임은 제조업체와 장치 제조업체에 있습니다.

빌더는 장치 보안을 위해 지금 조치를 취해야 합니다.

더 넓은 IoT 환경이 때로는 엄격하고 공통적인 보안 표준이 부족하여 황량한 서부로 ​​특징지어지지만, 정부에 제품을 공급하는 기업에게는 보안 조치를 구현하는 것이 더욱 중요해졌습니다.

그러나 그럼에도 불구하고 IoT 보안 소프트웨어 회사인 BG Networks의 창립자이자 CEO인 Colin Duggan은 장치 제조업체가 지금 사이버 보안 조치를 구현하는 것이 매우 중요하다고 강조했습니다. 그는 IoT 장치가 악의적인 활동의 주요 표적이라고 경고했습니다.

그는 현재와 미래에 범죄자와 적대 국가가 현재 IT 시스템의 약점을 노출하고 있는 것처럼 네트워크로 연결된 IoT 장치의 약점을 찾고 노출할 것이라는 점에는 의심의 여지가 없다고 말했습니다.

Duggan은 악의적인 행위자가 목표의 한계를 지속적으로 테스트할 것을 제안했습니다. 최근 Verkada 보안 카메라 해킹s 이데올로기적 관점이 장치에 침투하려는 욕구를 불러일으켰기 때문에 이러한 행위자들에게는 명확한 동기 의도가 필요하지 않다는 점을 강조합니다.

미국 국립표준기술연구소(NIST)가 발표한 사이버 보안 프레임워크, 그러나 모든 접근 방식에 맞는 단일 크기는 아닙니다.

제조업체와 장치 제조업체는 일부 장치는 다른 장치보다 더 안전해야 한다는 점에 유의해야 합니다. 많은 IoT 장치가 물리적인 사물과 동작을 제어하기 때문에 포함된 데이터가 더 민감하거나 위반으로 인해 잠재적인 안전 또는 운영 문제가 발생할 수 있다고 Duggan은 말했습니다.

Vdoo의 비즈니스 개발 담당 부사장인 Yaniv Nissenboim도 Duggan의 말에 동의하며, 장치 제조업체는 새로운 규정이 실제로 구체화되면 조치를 취하고 완화할 준비가 될 수 있도록 "지금 이러한 지침에 매핑"을 시작해야 한다고 말했습니다.

IoT 사이버보안법의 장기적 영향

단기적으로 IoT 장치 사이버 보안은 더 이상 사후 고려 사항으로 간주되지 않을 것이며, 민간 시장이 그 예를 따라 하늘에 빛나는 빛을 받게 될 것입니다.

그러나 이 법안의 장기적인 영향으로 인해 장치 제조업체가 보안 구현에 대해 신중하게 고민해야 하는 부담이 커졌습니다.

CyberArk의 비즈니스 개발 이사인 Brian Carpenter는 장치 제조업체와 제조업체가 이러한 계류 중인 규정이 어떻게 시행될지, 고객이 IoT 장치와의 연결을 관리하고 보호할 수 있는 방법을 고려해야 한다고 강조했습니다.

Carpenter는 "고객은 위험의 일부를 관리하는 더 사일로화된 보안 솔루션을 원하지 않습니다. 위험을 적절하게 관리하려면 위험에 대한 단일 보기가 필요합니다"라고 말했습니다.

보안 펌웨어 업데이트, 패치, ID 관리 등 더욱 강화되고 효과적인 조치를 갖춘 장치를 만드는 IoT 빌더는 고객의 위험 완화 전략에 부응하고 경쟁 우위를 확보할 수 있을 것이라고 그는 말했습니다.

빌더와 장치 제조업체는 이 법안의 초점이 아니었습니다. 초당적인 미국 정치인들이 불량 국가가 국가의 기술 인프라를 방해하는 것을 억제하기 위해 수많은 규제 변경을 단행한 이후입니다. 시간이 지남에 따라 문제가 커졌지만 다음과 같은 행위로 인한 피해를 억제하기 위한 여러 법안이 통과되었습니다. 러시아, 중국, 이란및 북한, 이 특별한 변화는 확실히 장기적으로 건축업자에게 도움이 될 것입니다.

강력한 보안을 구성하는 요소에 대한 지침을 제공함으로써 제조업체는 궁극적으로 고객 요구를 충족해야 하며 NIST 지침은 연방 또는 주 차원에서 새로운 법률로 바뀔 가능성이 높다고 Carpenter는 제안했습니다.

넓은 정의는 좋은 정의이다

Duggan은 IoT 장치에 대한 법안의 정의가 "네트워크 인터페이스가 있는 장치가 잠재적으로 네트워크에 취약성을 추가할 수 있기 때문에 좋다"고 말했습니다.

IoT 사이버보안법 IoT 장치를 구성하는 요소에 대한 정의 상태: 장치에는 "물리적 세계와 직접 상호 작용하기 위한 변환기(센서 또는 액추에이터)가 하나 이상 있어야 하며 네트워크 인터페이스도 하나 이상 있어야 합니다."

Duggan은 이는 법이 광범위한 그물을 던지고 있다는 것을 의미하는 동시에 '사이버 보안 기능의 구현이 이미 잘 이해되어 있기 때문에' 스마트폰이나 노트북이 포함되지 않는다는 점을 분명히 한다는 것을 의미한다고 말했습니다.

그러나 그가 지적한 한계는 정부 기관이 장치에 사이버 보안을 추가하도록 강제하는 구체적인 권한이 없다는 점이었습니다.

Duggan은 유엔유럽경제위원회(UNECE)에 회부되었습니다. WP.29 자동차 규정, 2024년 XNUMX월까지 모든 신규 생산 차량이 명시됨 설계에 따른 보안 접근 방식을 기반으로 한 사이버 보안을 포함해야 합니다. 소프트웨어 업데이트를 수행할 수 있습니다.

그는 IoT 사이버 보안법이 "UNECE 요구 사항만큼 강력하지 않다"고 설명했으며 보안 개선 측면에서 UNECE가 수행하는 작업과 일치하는 것이 좋은 단계가 될 것이라고 설명했습니다. 그는 “[UNECE] 규정은 자동차 산업에 필요한 사이버 보안을 자동차에 광범위하게 구현하도록 변화를 강요하고 있습니다.”라고 덧붙였습니다.

Nissenboim은 장치 제조업체 및 제조업체에 적용되는 기타 제한 사항과 관련하여 이 법이 IoT 장치를 연방 정부에 판매하는 회사에만 적용된다는 점을 상기시켰습니다. 그러나 그럼에도 불구하고 그는 주 정부와 민간 기업도 이 원칙과 지침을 채택할 것이라고 인정했습니다.

그는 "게다가 국제 IoT 사이버 보안 표준과 규정이 점점 더 많이 개발되고 있다"면서 "이 규정은 다양한 부문에서 매년 생산되는 수십억 대의 연결된 장치에 더 높은 보안 수준을 적용하는 데 도움이 될 것"이라고 덧붙였습니다.

IoT 사이버보안법에서 아직 해결해야 할 문제

관찰자들은 규제에 대해 칭찬을 아끼지 않았지만, 장치 제조업체와 제작업체, 특히 미국 정부에 제품을 판매하지 않는 업체에게는 문제가 남아 있습니다.

건축업자들은 이 법안의 영향을 평가하기 위해 뒤로 물러서야 합니다. 법은 장치에 대한 보안 평가를 구현하도록 강제하지는 않지만 공격 수가 급증함에 따라 위반을 방지하기 위한 지침이 필요할 수 있습니다.

Nissenboim은 이러한 중요한 프로세스를 담당해야 하는 제품 보안 및 엔지니어링 이해관계자 모두가 이러한 분석 및 모니터링을 자동화하고 관리해야 한다고 말했습니다.

CyberArk의 Carpenter는 IoT 장치에 대한 원격 연결이 펌웨어 업데이트, 자격 증명 관리 및 유지 관리 측면에서 여전히 큰 과제를 안겨준다고 경고했습니다.

Carpenter는 최종 지침에서 현재 규제되지 않은 문제와 관련된 일부 내용을 볼 수 있기를 희망했습니다. 그는 “특히 노동력이 계속해서 증가함에 따라 더욱 그렇다”고 덧붙였다.