Производителям и сборщикам устройств Интернета вещей необходимо начать обеспечивать безопасность устройств уже сейчас, поскольку ожидается, что более широкое сообщество разработчиков примет рекомендации Закона о кибербезопасности Интернета вещей.
Закон о кибербезопасности IoT — хороший старт для специалистов IoT по внедрению дополнительных функций безопасности на устройствах. Однако защита активов с помощью упреждающих мер, включая оценку уязвимости и программы раскрытия информации, — это варианты, которые могут поддержать более широкое сообщество строителей в борьбе с злоумышленниками.
Закон, подписанный в декабре 2020 года, двухпартийное законодательство заставляет любое устройство Интернета вещей (IoT), купленное на государственные деньги, соответствовать минимальным стандартам безопасности.
Хотя закон означает, что правительства могут рассчитывать на более безопасные устройства IoT, ответственность за повышение безопасности устройств лежит на сборщиках и производителях устройств.
Строителям необходимо действовать немедленно, чтобы защитить устройства
Реализация мер безопасности стала более важной для тех, кто снабжает правительство, хотя более широкий ландшафт Интернета вещей иногда характеризуют как Дикий Запад, учитывая отсутствие строгих, общих стандартов безопасности.
Однако, несмотря на это, крайне важно, чтобы производители устройств уже сейчас внедрили меры кибербезопасности, подчеркнул основатель и генеральный директор компании BG Networks, занимающейся разработкой программного обеспечения для обеспечения безопасности Интернета вещей, Колин Дагган. Он предупредил, что устройства Интернета вещей являются основной мишенью для вредоносной деятельности.
«Нет абсолютно никаких сомнений в том, что сейчас и в будущем преступники и враждебные национальные государства ищут и выявляют слабые места в устройствах Интернета вещей, подключенных к сети – точно так же, как они сейчас выявляют слабые места в ИТ-системах», — сказал он.
Дагган предположил, что злоумышленники постоянно проверяют пределы своих целей. Взлом камеры видеонаблюдения Verkadas подчеркните, что этим субъектам не нужны явные мотивы, стоящие за ними, поскольку предполагаемая идеологическая точка зрения вызвала желание проникнуть в устройства.
Национальный институт стандартов и технологий США (NIST) опубликовал Структура кибербезопасности, но это не универсальный подход.
Строители и производители устройств должны учитывать, что некоторые устройства должны быть более безопасными, чем другие: либо содержащиеся в них данные более конфиденциальны, либо нарушения могут вызвать потенциальные проблемы с безопасностью или эксплуатацией, поскольку многие устройства IoT контролируют физические вещи и действия, сказал Дагган.
Янив Ниссенбойм, вице-президент по развитию бизнеса Vdoo, поддержал Даггана, указав, что производители устройств должны начать «соблюдать эти рекомендации прямо сейчас», чтобы быть готовыми действовать и смягчать их, как только новые правила действительно обретут форму.
Долгосрочное влияние Закона о кибербезопасности Интернета вещей
В краткосрочной перспективе кибербезопасность устройств Интернета вещей больше не будет считаться второстепенной мыслью, а частный рынок станет ярким примером для подражания.
Однако долгосрочные последствия этого закона возлагают на производителей устройств большую ответственность, заставляя их серьезно задуматься о реализации мер безопасности.
Брайан Карпентер, директор по развитию бизнеса CyberArk, подчеркнул, что производители и производители устройств должны подумать о том, как будут обеспечиваться соблюдение этих ожидаемых правил и как клиенты смогут управлять и защищать подключения к устройствам IoT и от них.
«Клиентам… не нужны более разрозненные решения по обеспечению безопасности, которые управляют частью их рисков — им нужно единое представление о своих рисках, чтобы правильно ими управлять», — сказал Карпентер.
По его словам, разработчики IoT, которые создают устройства с расширенными и эффективными мерами, такими как безопасные обновления прошивки, исправления и управление идентификацией, смогут вписаться в стратегии снижения рисков своих клиентов и получить конкурентное преимущество.
Строители и производители устройств не были в центре внимания этого законодательства – после того, как двухпартийные политики США внесли множество нормативных изменений, направленных на то, чтобы ограничить вмешательство стран-изгоев в технологическую инфраструктуру страны. Хотя эта проблема со временем обострилась, появилось несколько законодательных актов, направленных на сдерживание хаоса, вызванного такими явлениями, как Россия, Китай, включая Иранкачества Северная Корея, это конкретное изменение, безусловно, поможет строителям в долгосрочной перспективе.
Предоставляя рекомендации о том, что представляет собой надежная безопасность, производителям необходимо будет в конечном итоге удовлетворить потребности клиентов, а рекомендации NIST, вероятно, трансформируются в новое законодательство либо на федеральном уровне, либо на уровне штата, предположил Карпентер.
Широкое определение – хорошее определение
Дагган сказал, что определение устройств IoT в законодательстве «хорошо, потому что устройства с сетевыми интерфейсами потенциально могут добавить уязвимости в сеть».
Закон о кибербезопасности Интернета вещей определение того, что представляет собой устройство IoT гласит: устройство должно «иметь хотя бы один преобразователь (датчик или исполнительный механизм) для непосредственного взаимодействия с физическим миром, иметь хотя бы один сетевой интерфейс».
Дагган сказал, что это означает, что закон охватывает широкую сеть, но при этом ясно дает понять, что смартфоны или ноутбуки не включены, поскольку «реализация функций кибербезопасности уже хорошо изучена».
Однако ограничение, на которое он указал, касалось отсутствия конкретного мандата, который заставил бы правительственные учреждения обеспечивать кибербезопасность устройств.
Дагган обратился в Европейскую экономическую комиссию ООН (ЕЭК ООН) WP.29 Автомобильные правила, в котором говорится, что к июлю 2024 года все вновь выпускаемые автомобили должна включать кибербезопасность, основанную на подходе «безопасность задумана» и могут проводить обновления программного обеспечения.
Он отметил, что Закон о кибербезопасности IoT «не так строг, как требования ЕЭК ООН», и что с точки зрения повышения безопасности соответствие тому, что делает ЕЭК ООН, было бы хорошим шагом. «Эти правила [ЕЭК ООН] вынуждают к изменениям в автомобильной промышленности для широкого внедрения необходимой кибербезопасности в автомобилях», — добавил он.
Что касается других ограничений, налагаемых на производителей и сборщиков устройств, Ниссенбойм напомнил, что закон распространяется только на компании, продающие устройства IoT федеральному правительству. Однако, несмотря на это, он признал, что правительства штатов и частные предприятия также будут стремиться принять его принципы и рекомендации.
«Кроме того, в стадии разработки находится все больше международных стандартов и правил кибербезопасности Интернета вещей», — сказал он, добавив, что эти правила помогут обеспечить более высокий уровень безопасности для миллиардов подключенных устройств, производимых каждый год в различных секторах.
Проблемы, которые еще предстоит решить с помощью Закона о кибербезопасности Интернета вещей
Несмотря на то, что наблюдатели высоко оценили правила, у производителей и сборщиков устройств остаются проблемы, особенно у тех, которые не продают свою продукцию правительству США.
Строителям необходимо отойти в сторону и оценить последствия этого закона. Хотя закон не обязывает их проводить оценку безопасности на устройствах, но поскольку количество атак стремительно растет, для предотвращения нарушений может потребоваться руководство.
Ниссенбойм сказал, что такой анализ и мониторинг должны быть автоматизированы и управляться как заинтересованными сторонами, занимающимися безопасностью продукта, так и инженерами, которым придется взять на себя эти важные процессы.
Карпентер из CyberArk предупредил, что удаленное подключение к устройствам IoT по-прежнему представляет собой серьезную проблему с точки зрения обновлений прошивки, управления учетными данными и обслуживания.
Карпентер выразил надежду увидеть в окончательных руководящих принципах некоторые вопросы, связанные с в настоящее время нерегулируемыми вопросами; «Особенно потому, что рабочая сила продолжает увеличиваться», — добавил он.
- плюс
- Стремясь
- Активы
- Автоматизированный
- автомобильный
- автомобильная промышленность
- двухпартийный
- тело
- нарушения
- строитель
- бизнес
- легковые автомобили
- Вызывать
- вызванный
- Генеральный директор
- вызов
- изменение
- комиссии
- Общий
- сообщество
- Компании
- Компания
- Конгресс
- Подключенные устройства
- Коммутация
- продолжается
- Преступники
- Клиенты
- Информационная безопасность
- данным
- Разработка
- Устройства
- директор
- Экономические
- Эффективный
- Проект и
- Европе
- Особенности
- Федеральный
- Федеральное правительство
- соответствовать
- Фокус
- следовать
- основатель
- будущее
- хорошо
- Правительство
- Правительства
- Рост
- методические рекомендации
- Выделите
- Как
- HTTPS
- Личность
- управление идентификацией
- Влияние
- В том числе
- промышленность
- Инфраструктура
- намерение
- Мультиязычность
- Интернет
- Интернет вещей
- КАТО
- IoT-устройство
- несколько устройств
- вопросы
- IT
- июль
- ноутбуки
- закон
- Законодательство
- уровень
- легкий
- основной
- управление
- рынок
- деньги
- Мониторинг
- сеть
- сеть
- сетей
- Новое Законодательство
- номера
- предлагают
- Опции
- Другие контрактные услуги
- Другое
- Патчи
- частная
- Произведенный
- Продукт
- Программы
- "Регулирование"
- правила
- Требования
- Снижение
- Снижение рисков
- Сохранность
- Сектора юридического права
- безопасность
- Программное обеспечение безопасности
- Короткое
- смартфоны
- So
- Software
- Решения
- стандартов
- Начало
- Область
- Области
- системы
- Технологии
- тестXNUMX
- Будущее
- время
- нам
- Правительство США
- Объединенный
- Объединенные Нации
- Updates
- Транспорт
- Вид
- Уязвимости
- уязвимость
- запад
- КТО
- Трудовые ресурсы
- Мир
- год