IoT Cybersecurity Act setter sikkerhet på enhetsprodusenter

IoT Cybersecurity Act er en god start for IoT-proffer til å implementere flere sikkerhetsfunksjoner på enheter. Men å sikre eiendeler gjennom proaktive tiltak, inkludert sårbarhetsvurderinger og avsløringsprogrammer, er alternativer som kan støtte det bredere byggmestermiljøet i kampen mot dårlige aktører.

Undertegnet i loven i desember 2020 topartilovgivning tvinger enhver Internet of Things (IoT)-enhet kjøpt med offentlige penger til oppfyller minimumssikkerhetsstandarder.

Mens loven betyr at regjeringer kan forvente sikrere IoT-enheter, er det bygherrer og enhetsprodusenter som har ansvaret for å styrke enhetssikkerheten.

Utbyggere må handle nå for å sikre enheter

Implementering av sikkerhetstiltak har blitt mer avgjørende for de som leverer til myndighetene, selv om det bredere IoT-landskapet noen ganger blir karakterisert som det ville vesten på grunn av mangelen på strenge, felles sikkerhetsstandarder.

Til tross for det er det imidlertid kritisk viktig at enhetsprodusenter implementerer cybersikkerhetstiltak nå, understreket grunnlegger og administrerende direktør for IoT-sikkerhetsprogramvareselskapet BG Networks, Colin Duggan. Han advarte om at IoT-enheter er hovedmål for ondsinnet aktivitet.

Det er absolutt ingen tvil om at nå og i fremtiden leter kriminelle og motstridende nasjonalstater etter og avslører svakheter i IoT-enheter som er koblet til nettverk – akkurat som de for tiden avslører svakheter i IT-systemer, sa han.

Duggan foreslo at ondsinnede aktører konstant tester grensene for målene deres. De siste Verkada sikkerhetskamera hacks fremheve at disse aktørene ikke trenger klare motiverende hensikter bak seg, ettersom et påstått ideologisk synspunkt drev et ønske om å trenge inn i enheter.

U.S. National Institute of Standards and Technology (NIST) har lagt ut Rammeverk for cybersikkerhet, men det er ikke en én-størrelse som passer alle.

Byggere og enhetsprodusenter bør merke seg at noen enheter må være sikrere enn andre – enten er dataene de inneholder mer sensitive eller brudd kan forårsake potensielle sikkerhets- eller driftsproblemer ettersom mange IoT-enheter kontrollerer fysiske ting og handlinger, sa Duggan.

Yaniv Nissenboim, VP for forretningsutvikling i Vdoo, gjentok Duggan, og indikerte at enhetsprodusenter bør begynne å "tilordne disse retningslinjene nå", slik at de kan være klare til å handle og redusere dem når de nye forskriftene virkelig tar form.

Langsiktig innvirkning av IoT Cybersecurity Act

På kort sikt vil cybersikkerhet for IoT-enheter ikke lenger betraktes som en ettertanke, med det private markedet gitt et skinnende lys på himmelen til etterfølgelse som eksempel.

Den langsiktige virkningen av loven legger imidlertid større byr på enhetsprodusentene til å tenke grundig over sikkerhetsimplementeringer.

Brian Carpenter, direktør for forretningsutvikling i CyberArk, understreket at enhetsprodusenter og -byggere bør vurdere hvordan disse ventende forskriftene skal håndheves og hvordan kunder kan administrere og sikre tilkoblinger til og fra IoT-enheter.

"Kunder ... vil ikke ha mer silede sikkerhetsløsninger som håndterer en del av risikoen deres - de trenger en enkelt oversikt over risikoene deres for å håndtere den riktig," sa Carpenter.

IoT-byggere som lager enheter med økte og effektive tiltak, som sikre fastvareoppdateringer, patcher og identitetsadministrasjon, vil kunne passe inn i kundens risikoreduserende strategier og få et konkurransefortrinn, sa han.

Byggere og enhetsprodusenter var ikke i fokus for denne lovgivningen – etter at topartipolitiske amerikanske politikere gjorde en mengde reguleringsendringer med sikte på å hindre useriøse nasjoner fra å forstyrre landets teknologiske infrastruktur. Selv om dette problemet har vokst over tid, med flere lovverk som tar sikte på å dempe kaos forårsaket av f.eks. Russland, Kina, Iranog Nord-Korea, vil denne spesielle endringen helt sikkert hjelpe utbyggere på lang sikt.

Ved å gi retningslinjer for hva som utgjør sterk sikkerhet, må produsentene til slutt møte kundenes behov, med NISTs retningslinjer som sannsynligvis vil transformeres til ny lovgivning, enten på føderalt eller statlig nivå, foreslo Carpenter.

En bred definisjon er en god definisjon

Duggan sa at lovgivningens definisjon for IoT-enheter "er bra fordi enheter med nettverksgrensesnitt potensielt kan legge til sårbarheter i nettverket".

IoT Cybersecurity Act definisjon av hva som utgjør en IoT-enhet sier: en enhet må "ha minst én transduser (sensor eller aktuator) for å samhandle direkte med den fysiske verden, ha minst ett nettverksgrensesnitt."

Duggan sa at dette betyr at loven kaster et bredt nett samtidig som det er klart at smarttelefoner eller bærbare datamaskiner ikke er inkludert ettersom "implementering av cybersikkerhetsfunksjoner allerede er godt forstått."

Begrensningen han pekte på gjaldt imidlertid mangelen på et spesifikt mandat som ville tvinge offentlige etater til å legge til cybersikkerhet til enheter.

Duggan henviste til FNs økonomiske kommisjon for Europa (UNECE) WP.29 bilforskrifter, som sier at innen juli 2024 alle nyproduserte kjøretøyer må inkludere cybersikkerhet basert på en security-by-design-tilnærming og er i stand til å utføre programvareoppdateringer.

Han beskrev at IoT Cybersecurity Act var «ikke like sterk som UNECE-kravene», og at når det gjelder å forbedre sikkerheten, ville det være et godt skritt å matche det UNECE gjør. "Denne [UNECE]-reguleringen tvinger endringer i bilindustrien til å implementere den nødvendige cybersikkerheten i biler bredt," la han til.

Når det gjelder andre begrensninger på enhetsprodusenter og -byggere, minnet Nissenboim om at loven bare gjelder for selskaper som selger IoT-enheter til den føderale regjeringen. Til tross for dette innrømmet han imidlertid at statlige myndigheter og private virksomheter også vil prøve å vedta prinsippene og retningslinjene.

"I tillegg er det en voksende mengde internasjonale IoT-cybersikkerhetsstandarder og -forskrifter under utvikling," sa han, og la til at regelverket vil bidra til å tvinge frem høyere sikkerhetsnivåer på milliarder av tilkoblede enheter som produseres hvert år i ulike sektorer.

Problemer som fortsatt må løses med IoT Cybersecurity Act

Mens regelverket har blitt rost av observatører, gjenstår det problemer for enhetsprodusenter og -byggere - spesielt de som ikke selger til den amerikanske regjeringen.

Utbyggere må stå tilbake for å vurdere de rullende implikasjonene av handlingen. Selv om loven ikke tvinger dem til å implementere sikkerhetsevalueringer på enheter, men ettersom angrepstallene skyter i været, kan veiledningen være nødvendig for å avlede brudd.

Nissenboim sa at slike analyser og overvåking må automatiseres og administreres av både produktsikkerhets- og tekniske interessenter som må ta på seg disse viktige prosessene.

CyberArks Carpenter advarte om at eksterne tilkoblinger til IoT-enheter fortsatt byr på en stor utfordring når det gjelder fastvareoppdateringer, legitimasjonsadministrasjon og vedlikehold.

Carpenter uttrykte håp om å se noen relatert til de for øyeblikket uregulerte problemene i de endelige retningslinjene; "spesielt ettersom arbeidsstyrken fortsetter å spre seg," la han til.