Zakon o kibernetski varnosti IoT odgovornost za varnost nalaga proizvajalcem naprav

IoT Cybersecurity Act je dober začetek za strokovnjake IoT za implementacijo več varnostnih funkcij v naprave. Vendar pa so varovanje sredstev s proaktivnimi ukrepi, vključno z ocenami ranljivosti in programi razkritja, možnosti, ki bi lahko podprle širšo skupnost gradbenikov v boju proti slabim akterjem.

Zakon je bil podpisan decembra 2020 dvostrankarska zakonodaja prisili vsako napravo interneta stvari (IoT), kupljeno z državnim denarjem, da izpolnjujejo minimalne varnostne standarde.

Medtem ko zakon pomeni, da lahko vlade pričakujejo bolj varne naprave IoT, so graditelji in izdelovalci naprav dolžni okrepiti varnost naprav.

Gradbeniki morajo takoj ukrepati, da zavarujejo naprave

Izvajanje varnostnih ukrepov je postalo pomembnejše za tiste, ki dobavljajo vladi, čeprav je širša pokrajina interneta stvari včasih označena kot Divji zahod zaradi pomanjkanja strogih skupnih varnostnih standardov.

Kljub temu pa je ključnega pomena, da izdelovalci naprav zdaj izvajajo ukrepe kibernetske varnosti, je poudaril ustanovitelj in izvršni direktor podjetja za varnostno programsko opremo IoT BG Networks Colin Duggan. Opozoril je, da so naprave IoT glavne tarče zlonamernih dejavnosti.

Nobenega dvoma ni, da zdaj in v prihodnosti kriminalci in nasprotujoče si nacionalne države iščejo in razkrivajo slabosti v napravah IoT, ki so omrežno povezane – tako kot trenutno razkrivajo slabosti v sistemih IT, je dejal.

Duggan je predlagal, naj zlonamerni akterji nenehno preizkušajo meje svojih tarč. Nedavno Vdor v varnostno kamero Verkadas poudarite, da ti akterji ne potrebujejo jasnega motiva za seboj, saj je domnevno ideološko stališče spodbudilo željo po prodoru v naprave.

Ameriški nacionalni inštitut za standarde in tehnologijo (NIST) je predstavil Okvir kibernetske varnosti, vendar to ni pristop, ki bi ustrezal vsem.

Gradbeniki in izdelovalci naprav bi morali upoštevati, da morajo biti nekatere naprave varnejše od drugih – ali so podatki, ki jih vsebujejo, bolj občutljivi ali pa bi lahko kršitve povzročile morebitne varnostne ali operativne težave, saj številne naprave IoT nadzorujejo fizične stvari in dejanja, je dejal Duggan.

Yaniv Nissenboim, podpredsednik poslovnega razvoja pri Vdoo, je ponovil Duggana in nakazal, da bi morali izdelovalci naprav začeti "preslikati te smernice zdaj", da bodo lahko pripravljeni ukrepati in jih ublažiti, ko bodo novi predpisi resnično dobili obliko.

Dolgoročni vpliv zakona o kibernetski varnosti IoT

Kratkoročno se kibernetska varnost naprav IoT ne bo več štela za pozabo, zasebni trg pa bo dobil svetlečo luč na nebu, ki mu bo sledil kot zgled.

Dolgoročni učinek akta pa nalaga proizvajalcem naprav večjo obremenitev, da dobro razmislijo o varnostnih implementacijah.

Brian Carpenter, direktor poslovnega razvoja pri CyberArk, je poudaril, da bi morali proizvajalci naprav in izdelovalci razmisliti o tem, kako bodo uveljavljeni ti čakajoči predpisi in kako lahko stranke upravljajo in varujejo povezave do in iz naprav IoT.

»Stranke … ne želijo več ločenih varnostnih rešitev, ki obvladujejo del njihovega tveganja – potrebujejo enoten pogled na svoja tveganja, da ga lahko pravilno obvladujejo,« je dejal Carpenter.

Izdelovalci interneta stvari, ki ustvarjajo naprave s povečanimi in učinkovitimi ukrepi, kot so varne posodobitve vdelane programske opreme, popravki in upravljanje identitete, se bodo lahko vključili v strategije za zmanjševanje tveganja svojih strank in pridobili konkurenčno prednost, je dejal.

Gradbeniki in izdelovalci naprav niso bili v središču te zakonodaje – potem ko so dvostrankarski ameriški politiki izvedli obilico regulativnih sprememb, katerih cilj je zajeziti prevarantne države pri vmešavanju v tehnološko infrastrukturo države. Čeprav se je to vprašanje sčasoma povečalo, z več deli zakonodaje, katerih cilj je omejiti opustošenje, ki ga povzročajo podobni Rusija, Kitajska, Iranin Severna Koreja, bo ta posebna sprememba dolgoročno zagotovo pomagala graditeljem.

Z zagotavljanjem smernic o tem, kaj je močna varnost, bodo morali proizvajalci na koncu zadovoljiti potrebe strank, pri čemer se bodo smernice NIST verjetno spremenile v novo zakonodajo, bodisi na zvezni ali državni ravni, je predlagal Carpenter.

Široka definicija je dobra definicija

Duggan je dejal, da je zakonodajna definicija za naprave IoT "dobra, ker lahko naprave z omrežnimi vmesniki potencialno dodajo ranljivosti omrežju".

Zakon o kibernetski varnosti IoT opredelitev, kaj je naprava IoT navaja: naprava mora "imeti vsaj en pretvornik (senzor ali aktuator) za neposredno interakcijo s fizičnim svetom, imeti vsaj en omrežni vmesnik."

Duggan je dejal, da to pomeni, da zakon postavlja široko mrežo, hkrati pa je jasno, da pametni telefoni ali prenosni računalniki niso vključeni, saj je "izvajanje funkcij kibernetske varnosti že dobro razumljeno."

Omejitev, na katero je opozoril, pa se je nanašala na pomanjkanje posebnega pooblastila, ki bi prisililo vladne agencije, da napravam dodajo kibernetsko varnost.

Duggan se je skliceval na Ekonomsko komisijo Združenih narodov za Evropo (UNECE) WP.29 avtomobilski predpisi, ki navajajo, da do julija 2024 vsa novo proizvedena vozila mora vključevati kibernetsko varnost, ki temelji na pristopu varnosti pri načrtovanju in so sposobni izvajati posodobitve programske opreme.

Opisal je, da IoT Cybersecurity Act »ni tako močan kot zahteve UNECE« in da bi bilo v smislu izboljšanja varnosti primerjanje s tem, kar počne UNECE, dober korak. "Ta uredba [UNECE] sili spremembe v avtomobilski industriji, da bi na splošno uvedla potrebno kibernetsko varnost v avtomobilih," je dodal.

Kar zadeva druge omejitve za izdelovalce in graditelje naprav, je Nissenboim spomnil, da zakon velja le za podjetja, ki zvezni vladi prodajajo naprave IoT. Kljub temu pa je priznal, da si bodo tudi državne vlade in zasebna podjetja prizadevala sprejeti njegova načela in smernice.

"Poleg tega je v razvoju vedno več mednarodnih standardov in predpisov za kibernetsko varnost IoT," je dejal in dodal, da bodo predpisi pomagali uveljaviti višje ravni varnosti na milijardah povezanih naprav, proizvedenih vsako leto v različnih sektorjih.

Težave, ki jih je še treba rešiti z zakonom o kibernetski varnosti interneta stvari

Medtem ko so opazovalci pohvalili predpise, ostajajo težave za proizvajalce in proizvajalce naprav – zlasti tiste, ki ne prodajajo ameriški vladi.

Gradbeniki se morajo umakniti, da ocenijo tekoče posledice dejanja. Zakon jih sicer ne sili k izvajanju varnostnih ocen na napravah, a ker število napadov skokovito narašča, bodo morda potrebna navodila za odvrnitev kršitev.

Nissenboim je dejal, da bodo morale biti takšne analize in spremljanje avtomatizirane in upravljane s strani zainteresiranih strani za varnost izdelkov in inženiringa, ki bodo morale prevzeti te pomembne procese.

Carpenter iz CyberArka je opozoril, da oddaljene povezave z napravami IoT še vedno predstavljajo velik izziv v smislu posodobitev vdelane programske opreme, upravljanja poverilnic in vzdrževanja.

Carpenter je izrazil upanje, da bo v končnih smernicah nekaj povezanih s temi trenutno neurejenimi vprašanji; "še posebej, ker se delovna sila še naprej množi," je dodal.