Ustawa o cyberbezpieczeństwie IoT nakłada obowiązek bezpieczeństwa na producentów urządzeń

Ustawa o cyberbezpieczeństwie IoT to dobry początek dla specjalistów IoT do wdrożenia większej liczby funkcji bezpieczeństwa na urządzeniach. Jednakże zabezpieczanie aktywów za pomocą proaktywnych środków, w tym ocen podatności na zagrożenia i programów ujawniania informacji, to opcje, które mogą wesprzeć szerszą społeczność konstruktorów w walce ze złymi aktorami.

Podpisana w grudniu 2020 r. ustawa ustawodawstwo dwupartyjne wymusza działanie dowolnego urządzenia Internetu rzeczy (IoT) zakupionego za pieniądze rządowe spełniają minimalne standardy bezpieczeństwa.

Chociaż prawo oznacza, że ​​rządy mogą oczekiwać bezpieczniejszych urządzeń IoT, obowiązek zwiększenia bezpieczeństwa urządzeń spoczywa na konstruktorach i producentach urządzeń.

Konstruktorzy muszą działać teraz, aby zabezpieczyć urządzenia

Wdrażanie środków bezpieczeństwa stało się coraz ważniejsze dla dostawców usług dla rządu, mimo że szerszy krajobraz IoT jest czasami określany jako Dziki Zachód ze względu na brak rygorystycznych, wspólnych standardów bezpieczeństwa.

Mimo to niezwykle ważne jest, aby producenci urządzeń już teraz wdrożyli środki cyberbezpieczeństwa, podkreślił założyciel i dyrektor generalny firmy BG Networks, zajmującej się oprogramowaniem zabezpieczającym IoT, Colin Duggan. Ostrzegł, że urządzenia IoT są głównymi celami szkodliwej aktywności.

Nie ma absolutnie żadnych wątpliwości, że teraz i w przyszłości przestępcy i wrogie sobie państwa narodowe szukają i ujawniają słabe punkty w urządzeniach IoT podłączonych do sieci – tak jak obecnie ujawniają słabe punkty w systemach informatycznych – powiedział.

Duggan zasugerował, że szkodliwi aktorzy stale testują granice swoich celów. Ostatnio Włamanie do kamery bezpieczeństwa Verkadas podkreśl, że aktorzy ci nie potrzebują wyraźnych motywów działania, ponieważ rzekomy ideologiczny punkt widzenia napędzał chęć penetracji urządzeń.

Amerykański Narodowy Instytut Standardów i Technologii (NIST) opracował Ramy cyberbezpieczeństwa, ale nie jest to podejście uniwersalne.

Konstruktorzy i producenci urządzeń powinni pamiętać, że niektóre urządzenia muszą być bezpieczniejsze niż inne – albo zawarte w nich dane są bardziej wrażliwe, albo naruszenia mogą powodować potencjalne problemy związane z bezpieczeństwem lub działaniem, ponieważ wiele urządzeń IoT kontroluje fizyczne rzeczy i działania, powiedział Duggan.

Yaniv Nissenboim, wiceprezes ds. rozwoju biznesu w Vdoo, powtórzył Duggan, wskazując, że producenci urządzeń powinni zacząć „dostosowywać się do tych wytycznych już teraz”, aby być gotowi do działania i złagodzenia skutków, gdy nowe przepisy naprawdę nabiorą kształtu.

Długoterminowy wpływ ustawy o cyberbezpieczeństwie IoT

W perspektywie krótkoterminowej cyberbezpieczeństwo urządzeń IoT nie będzie już traktowane jako kwestia odległa, a rynek prywatny będzie mógł brać przykład z nieba.

Długoterminowy wpływ tej ustawy nakłada jednak na producentów urządzeń większy obowiązek dokładnego zastanowienia się nad wdrożeniami zabezpieczeń.

Brian Carpenter, dyrektor ds. rozwoju biznesu w CyberArk, podkreślił, że producenci i konstruktorzy urządzeń powinni rozważyć, w jaki sposób będą egzekwowane te obowiązujące przepisy oraz w jaki sposób klienci mogą zarządzać połączeniami do i z urządzeń IoT i je zabezpieczać.

„Klienci… nie chcą bardziej izolowanych rozwiązań bezpieczeństwa, które zarządzają częścią ich ryzyka – potrzebują jednego spojrzenia na ryzyko, aby właściwie nim zarządzać” – powiedział Carpenter.

Konstruktorzy IoT, którzy tworzą urządzenia wyposażone w zwiększone i skuteczne środki, takie jak bezpieczne aktualizacje oprogramowania sprzętowego, poprawki i zarządzanie tożsamością, będą mogli dopasować się do strategii ograniczania ryzyka swoich klientów i zyskać przewagę konkurencyjną, powiedział.

Konstruktorzy i producenci urządzeń nie byli w centrum zainteresowania tego ustawodawstwa – po tym, jak dwupartyjny politycy amerykańscy wprowadzili mnóstwo zmian regulacyjnych, których celem było powstrzymanie zbójeckich krajów przed ingerencją w infrastrukturę technologiczną kraju. Chociaż problem ten narastał z biegiem czasu, wprowadzono kilka aktów prawnych mających na celu ograniczenie spustoszenia powodowanego przez m.in Rosja, Chiny, Iran, Korea Północna, ta konkretna zmiana z pewnością pomoże budowniczym w dłuższej perspektywie.

Dostarczając wytyczne dotyczące tego, co stanowi silne bezpieczeństwo, producenci będą musieli ostatecznie wyjść naprzeciw potrzebom klientów, przy czym wytyczne NIST prawdopodobnie przekształcą się w nowe ustawodawstwo, czy to na poziomie federalnym, czy stanowym, zasugerował Carpenter.

Szeroka definicja jest dobrą definicją

Duggan powiedział, że zawarta w przepisach definicja urządzeń IoT „jest dobra, ponieważ urządzenia wyposażone w interfejsy sieciowe mogą potencjalnie zwiększać luki w zabezpieczeniach sieci”.

Ustawa o cyberbezpieczeństwie IoT definicja urządzenia IoT stwierdza: urządzenie musi „posiadać co najmniej jeden przetwornik (czujnik lub aktuator) umożliwiający bezpośrednią interakcję ze światem fizycznym, posiadać co najmniej jeden interfejs sieciowy”.

Duggan stwierdził, że oznacza to, że prawo obejmuje szeroką sieć, ale jednocześnie jasno zaznaczył, że smartfony i laptopy nie są objęte przepisami, ponieważ „wdrażanie funkcji cyberbezpieczeństwa jest już dobrze poznane”.

Ograniczenie, na które wskazał, dotyczyło jednak braku konkretnego mandatu, który zmuszałby agencje rządowe do dodawania cyberbezpieczeństwa do urządzeń.

Duggan skierowany do Europejskiej Komisji Gospodarczej ONZ (EKG ONZ) WP.29 Przepisy motoryzacyjne, które stanowią, że do lipca 2024 r. wszystkie nowo wyprodukowane pojazdy muszą uwzględniać cyberbezpieczeństwo w oparciu o podejście uwzględniające bezpieczeństwo już na etapie projektowania i są w stanie przeprowadzać aktualizacje oprogramowania.

Opisał ustawę o cyberbezpieczeństwie IoT „nie tak rygorystyczną, jak wymagania UNECE” i że z punktu widzenia poprawy bezpieczeństwa dobrym krokiem byłoby dostosowanie się do działań UNECE. „To rozporządzenie [EKG ONZ] wymusza zmiany w przemyśle motoryzacyjnym w celu szerokiego wdrożenia niezbędnego cyberbezpieczeństwa w samochodach” – dodał.

Jeśli chodzi o inne ograniczenia nałożone na producentów i producentów urządzeń, Nissenboim przypomniał, że prawo dotyczy tylko firm sprzedających urządzenia IoT rządowi federalnemu. Mimo to przyznał jednak, że rządy stanowe i przedsiębiorstwa prywatne również będą chciały przyjąć jej zasady i wytyczne.

„Ponadto opracowywana jest coraz większa liczba międzynarodowych standardów i przepisów dotyczących cyberbezpieczeństwa IoT” – powiedział, dodając, że regulacje pomogą wymusić wyższy poziom bezpieczeństwa na miliardach podłączonych urządzeń produkowanych każdego roku w różnych sektorach.

Kwestie do rozwiązania w ramach ustawy o cyberbezpieczeństwie IoT

Chociaż obserwatorzy chwalą regulacje, producenci i konstruktorzy urządzeń – zwłaszcza ci, którzy nie sprzedają ich rządowi USA – nadal mają problemy.

Konstruktorzy muszą cofnąć się, aby ocenić dalsze konsekwencje tej ustawy. Chociaż prawo nie zmusza ich do wdrażania ocen bezpieczeństwa na urządzeniach, ale w miarę gwałtownego wzrostu liczby ataków mogą być wymagane wytyczne, aby zapobiec naruszeniom.

Nissenboim powiedział, że takie analizy i monitorowanie będą musiały zostać zautomatyzowane i zarządzane zarówno przez interesariuszy zajmujących się bezpieczeństwem produktów, jak i inżynierią, którzy będą musieli przejąć te ważne procesy.

Carpenter z CyberArk ostrzegł, że zdalne połączenia z urządzeniami IoT w dalszym ciągu stanowią poważne wyzwanie w zakresie aktualizacji oprogramowania sprzętowego, zarządzania danymi uwierzytelniającymi i konserwacją.

Carpenter wyraził nadzieję, że w ostatecznych wytycznych znajdą się niektóre odnoszące się do obecnie nieuregulowanych kwestii; „szczególnie w obliczu ciągłego zwiększania się siły roboczej” – dodał.