Tillverkare och byggare av IoT-enheter måste börja säkra enheter nu eftersom det bredare byggarsamhället förväntas anta vägledningen från IoT Cybersecurity Act.
IoT Cybersecurity Act är en bra början för IoT-proffs att implementera fler säkerhetsfunktioner på enheter. Men att säkra tillgångar genom proaktiva åtgärder, inklusive sårbarhetsbedömningar och avslöjandeprogram, är alternativ som kan stödja det bredare byggarsamhället i kampen mot dåliga aktörer.
Undertecknades i lag i december 2020 tvåpartslagstiftning tvingar alla Internet of Things (IoT)-enheter som köpts med statliga pengar att uppfylla minimisäkerhetsstandarder.
Även om lagen innebär att regeringar kan förvänta sig säkrare IoT-enheter, ligger ansvaret på byggare och enhetstillverkare att stärka enhetssäkerheten.
Byggare måste agera nu för att säkra enheter
Att implementera säkerhetsåtgärder har blivit viktigare för dem som levererar till regeringen, även om det bredare IoT-landskapet ibland karakteriseras som det vilda västern med tanke på dess brist på rigorösa, gemensamma säkerhetsstandarder.
Trots det är det dock ytterst viktigt att enhetstillverkare implementerar cybersäkerhetsåtgärder nu, betonade grundaren och vd för IoT-säkerhetsprogramvaruföretaget BG Networks, Colin Duggan. Han varnade för att IoT-enheter är främsta mål för skadlig aktivitet.
Det råder absolut ingen tvekan om att nu och i framtiden söker brottslingar och motstridiga nationalstater efter och avslöjar svagheter i IoT-enheter som är anslutna till nätverk – precis som de för närvarande avslöjar svagheter i IT-system, sa han.
Duggan föreslog att illvilliga aktörer ständigt testar gränserna för sina mål. Den senaste tiden Verkada säkerhetskamera hacks betona att dessa aktörer inte behöver tydliga motivuppsåt bakom sig, eftersom en påstådd ideologisk synpunkt drev en önskan att penetrera enheter.
US National Institute of Standards and Technology (NIST) har lagt ut Ram för cybersäkerhet, men det är inte en enkel lösning för alla.
Byggare och enhetstillverkare bör notera att vissa enheter måste vara säkrare än andra – antingen är data de innehåller känsligare eller så kan intrång orsaka potentiella säkerhets- eller driftsproblem eftersom många IoT-enheter kontrollerar fysiska saker och handlingar, sa Duggan.
Yaniv Nissenboim, VP för affärsutveckling på Vdoo, upprepade Duggan och indikerade att enhetstillverkare borde börja "kartlägga till dessa riktlinjer nu" så att de kan vara redo att agera och mildra dem när de nya reglerna verkligen tar form.
Långsiktiga effekter av IoT Cybersecurity Act
På kort sikt kommer cybersäkerhet för IoT-enheter inte längre att betraktas som en eftertanke, med den privata marknaden som får ett lysande ljus på himlen att följa som exempel.
Den långsiktiga effekten av lagen lägger dock större skyldighet på enhetstillverkare att tänka hårt på säkerhetsimplementeringar.
Brian Carpenter, chef för affärsutveckling på CyberArk, betonade att enhetstillverkare och byggare bör överväga hur dessa pågående bestämmelser kommer att upprätthållas och hur kunder kan hantera och säkra anslutningar till och från IoT-enheter.
"Kunder ... vill inte ha mer silade säkerhetslösningar som hanterar en del av deras risker - de behöver en enda vy av sina risker för att hantera dem på rätt sätt," sa Carpenter.
IoT-byggare som skapar enheter med ökade och effektiva åtgärder, som säkra firmwareuppdateringar, patchar och identitetshantering, kommer att kunna passa in i sina kunders riskreduceringsstrategier och få en konkurrensfördel, sa han.
Byggare och enhetstillverkare var inte i fokus för denna lagstiftning – efter att tvåpartiska amerikanska politiker gjort en uppsjö av regeländringar som syftar till att hindra oseriösa nationer från att störa landets tekniska infrastruktur. Även om den frågan har vuxit med tiden, med flera lagar som syftar till att stävja förödelse orsakad av t.ex. Ryssland, Kina, Iranoch Nordkorea, kommer denna speciella förändring säkerligen att hjälpa byggare på lång sikt.
Genom att tillhandahålla riktlinjer om vad som utgör stark säkerhet kommer tillverkarna att i slutändan behöva möta kundernas behov, med NISTs riktlinjer som sannolikt kommer att omvandlas till ny lagstiftning, antingen på federal eller statlig nivå, föreslog Carpenter.
En bred definition är en bra definition
Duggan sa att lagstiftningens definition för IoT-enheter "är bra eftersom enheter med nätverksgränssnitt potentiellt kan lägga till sårbarheter i nätverket".
IoT Cybersecurity Act definition av vad som utgör en IoT-enhet säger: en enhet måste "ha minst en givare (sensor eller ställdon) för att interagera direkt med den fysiska världen, ha minst ett nätverksgränssnitt."
Duggan sa att detta innebär att lagen ger ett brett nät samtidigt som det är tydligt att smartphones eller bärbara datorer inte ingår eftersom "implementering av cybersäkerhetsfunktioner redan är väl förstått."
Begränsningen han pekade på gällde dock bristen på ett specifikt mandat som skulle tvinga statliga myndigheter att lägga till cybersäkerhet till enheter.
Duggan hänvisade till FN:s ekonomiska kommission för Europa (UNECE) WP.29 bilföreskrifter, som säger att senast i juli 2024 alla nyproducerade fordon måste inkludera cybersäkerhet baserad på en säkerhetsbaserad strategi och kan utföra programuppdateringar.
Han beskrev att IoT Cybersecurity Act är "inte lika stark som UNECE-kraven", och att när det gäller att förbättra säkerheten skulle det vara ett bra steg att matcha vad UNECE gör. "Denna [UNECE] förordningen tvingar förändringar i bilindustrin att i stort sett implementera den nödvändiga cybersäkerheten i bilar," tillade han.
När det gäller andra begränsningar för enhetstillverkare och -byggare påminde Nissenboim om att lagen endast gäller företag som säljer IoT-enheter till den federala regeringen. Trots detta medgav han att statliga regeringar och privata företag också kommer att försöka anta dess principer och riktlinjer.
"Dessutom finns det en växande mängd internationella IoT-cybersäkerhetsstandarder och -regleringar under utveckling", sa han och tillade att reglerna kommer att hjälpa till att tvinga fram högre säkerhetsnivåer på de miljarder anslutna enheter som produceras varje år i olika sektorer.
Problem som fortfarande måste åtgärdas med IoT Cybersecurity Act
Även om reglerna har hyllats av observatörer kvarstår problem för tillverkare och byggare av enheter – särskilt de som inte säljer till den amerikanska regeringen.
Byggare måste stå tillbaka för att utvärdera de rullande konsekvenserna av handlingen. Även om lagen inte tvingar dem att implementera säkerhetsutvärderingar på enheter, men när antalet attacker skjuter i höjden, kan vägledningen krävas för att avleda intrång.
Nissenboim sa att sådana analyser och övervakning kommer att behöva automatiseras och hanteras av både produktsäkerhets- och tekniska intressenter som måste ta sig an dessa viktiga processer.
CyberArks Carpenter varnade för att fjärranslutningar till IoT-enheter fortfarande erbjuder en stor utmaning när det gäller firmwareuppdateringar, autentiseringshantering och underhåll.
Carpenter uttryckte hopp om att se några relaterade till de för närvarande oreglerade frågorna i de slutliga riktlinjerna; "särskilt när arbetskraften fortsätter att växa", tillade han.
- Fördel
- sikta
- Tillgångar
- Automatiserad
- fordonsindustrin
- bilindustrin
- bipartisan
- kropp
- överträdelser
- byggare
- företag
- bilar
- Orsak
- orsakas
- VD
- utmanar
- byta
- provision
- Gemensam
- samfundet
- Företag
- företag
- Kongressen
- anslutna enheter
- Anslutningar
- fortsätter
- brottslingar
- Kunder
- Cybersäkerhet
- datum
- Utveckling
- enheter
- Direktör
- Ekonomisk
- Effektiv
- Teknik
- Europa
- Funktioner
- Federal
- Federala regeringen
- passa
- Fokus
- följer
- grundare
- framtida
- god
- Regeringen
- Regeringar
- Odling
- riktlinjer
- Markera
- Hur ser din drömresa ut
- HTTPS
- Identitet
- identitetshantering
- Inverkan
- Inklusive
- industrin
- Infrastruktur
- uppsåt
- Internationell
- Internet
- sakernas Internet
- iot
- IoT-enhet
- iot enheter
- problem
- IT
- Juli
- bärbara datorer
- Lag
- Lagstiftning
- Nivå
- ljus
- större
- ledning
- marknad
- pengar
- övervakning
- netto
- nät
- nätverk
- Ny lagstiftning
- nummer
- erbjudanden
- Tillbehör
- Övriga
- Övrigt
- Plåster
- privat
- producerad
- Produkt
- Program
- reglering
- föreskrifter
- Krav
- Risk
- Riskreducering
- Säkerhet
- Sektorer
- säkerhet
- Säkerhetsprogramvara
- Kort
- smartphones
- So
- Mjukvara
- Lösningar
- standarder
- starta
- Ange
- Stater
- System
- Teknologi
- testa
- Framtiden
- tid
- oss
- USAs regering
- United
- Förenta nationerna
- Uppdateringar
- fordon
- utsikt
- sårbarheter
- sårbarhet
- väster
- VEM
- arbetskraft
- världen
- år