Закон IoT про кібербезпеку покладає обов'язок безпеки на виробників пристроїв

Закон про кібербезпеку Інтернету речей є хорошим початком для професіоналів Інтернету речей для впровадження додаткових функцій безпеки на пристроях. Проте захист активів за допомогою профілактичних заходів, включаючи оцінку вразливості та програми розкриття інформації, є варіантами, які можуть підтримати ширшу спільноту будівельників у боротьбі зі зловмисниками.

Підписаний закон у грудні 2020 року двопартійне законодавство змушує будь-який пристрій Інтернету речей (IoT), придбаний за державні гроші відповідати мінімальним стандартам безпеки.

Хоча закон означає, що уряди можуть розраховувати на більш безпечні пристрої Інтернету речей, розробники та виробники пристроїв зобов’язані посилити безпеку пристроїв.

Будівельники мають діяти зараз, щоб убезпечити пристрої

Впровадження заходів безпеки стало більш важливим для тих, хто постачає уряду, навіть незважаючи на те, що ширший ландшафт Інтернету речей іноді характеризують як Дикий Захід через відсутність суворих загальних стандартів безпеки.

Однак, незважаючи на це, критично важливо, щоб виробники пристроїв впроваджували заходи кібербезпеки зараз, підкреслив Колін Дагган, засновник і генеральний директор компанії, що займається програмним забезпеченням безпеки Інтернету речей, BG Networks. Він попередив, що пристрої IoT є основними цілями для зловмисної діяльності.

Немає абсолютно ніяких сумнівів, що зараз і в майбутньому злочинці та ворожі національні держави шукають і виявляють слабкі місця в пристроях Інтернету речей, які підключені до мережі – так само, як зараз вони виявляють слабкі місця в ІТ-системах, сказав він.

Дагган запропонував зловмисникам постійно перевіряти межі своїх цілей. Останні Злом камери безпеки Verkadas підкресліть, що ці актори не потребують чіткого мотиву, що стоїть за ними, оскільки нібито ідеологічна точка зору викликала бажання проникнути в пристрої.

Національний інститут стандартів і технологій США (NIST) виклав Система кібербезпеки, але це не універсальний підхід.

Розробникам і виробникам пристроїв слід пам’ятати, що деякі пристрої мають бути більш безпечними, ніж інші – або дані, які вони містять, є більш конфіденційними, або порушення можуть спричинити потенційні проблеми з безпекою чи експлуатацією, оскільки багато пристроїв IoT контролюють фізичні речі та дії, сказав Дагган.

Янів Ніссенбойм, віце-президент із розвитку бізнесу у Vdoo, повторив Даггана, зазначивши, що виробники пристроїв повинні почати «відповідати цим інструкціям зараз», щоб вони могли бути готовими діяти та пом’якшувати їх, коли нові правила дійсно набудуть форму.

Довгостроковий вплив Закону про кібербезпеку Інтернету речей

У короткостроковій перспективі кібербезпека пристроїв Інтернету речей більше не вважатиметься запізнілою думкою, а приватний ринок буде яскравим світлом у небі для наслідування.

Однак довготерміновий вплив цього закону накладає на виробників пристроїв більший обов’язок подумати про впровадження безпеки.

Брайан Карпентер, директор із розвитку бізнесу в CyberArk, підкреслив, що виробники пристроїв і розробники повинні розглянути, як будуть виконуватися ці очікувані норми та як клієнти можуть керувати та захищати підключення до та від пристроїв IoT.

«Клієнти… не хочуть мати більше ізольованих рішень безпеки, які керують частиною їхніх ризиків – їм потрібне єдине уявлення про їхні ризики, щоб правильно ним керувати», – сказав Карпентер.

Розробники IoT, які створюють пристрої з розширеними й ефективними заходами, такими як безпечні оновлення мікропрограм, виправлення та керування ідентифікацією, зможуть вписатися в стратегії зниження ризиків своїх клієнтів і отримати конкурентну перевагу, сказав він.

Розробники та виробники пристроїв не були в центрі уваги цього законодавства – після того, як двопартійні політики США внесли безліч регулятивних змін, спрямованих на те, щоб заборонити країнам-ізгоям втручатися в технологічну інфраструктуру країни. Хоча з часом ця проблема загострилася, кілька законодавчих актів мають на меті приборкати хаос, спричинений такими як Росія, Китай, Іран та Північна Корея, ця конкретна зміна, безумовно, допоможе будівельникам у довгостроковій перспективі.

Запропонувавши вказівки щодо того, що таке надійна безпека, виробники повинні будуть остаточно задовольнити потреби клієнтів, причому вказівки NIST, ймовірно, трансформуються в нове законодавство на федеральному рівні або на рівні штату, припустив Карпентер.

Широке визначення – хороше визначення

Дагган сказав, що законодавче визначення пристроїв IoT «добре, оскільки пристрої з мережевими інтерфейсами можуть потенційно додати вразливості до мережі».

Закон про кібербезпеку Інтернету речей визначення того, що являє собою пристрій IoT стверджує: пристрій повинен «мати принаймні один перетворювач (датчик або актуатор) для безпосередньої взаємодії з фізичним світом, мати принаймні один мережевий інтерфейс».

Дагган сказав, що це означає, що закон відкриває широку мережу, а також чітко вказує, що смартфони чи ноутбуки не включені, оскільки «реалізація функцій кібербезпеки вже добре зрозуміла».

Однак обмеження, на які він вказав, стосувалося відсутності конкретного мандату, який би змусив урядові установи додавати кібербезпеку до пристроїв.

Дагган звернувся до Європейської економічної комісії ООН (ЄЕК ООН) WP.29 автомобільні правила, в яких зазначено, що до липня 2024 року всі нові транспортні засоби має включати кібербезпеку на основі підходу безпеки за проектом і можуть проводити оновлення програмного забезпечення.

Він назвав Закон про кібербезпеку Інтернету речей «не таким сильним, як вимоги ЄЕК ООН», і що з точки зору підвищення безпеки відповідність того, що робить ЄЕК ООН, буде хорошим кроком. «Цей регламент [ЄЕК ООН] змушує автомобільну промисловість змінитися для широкого впровадження необхідної кібербезпеки в автомобілях», — додав він.

З точки зору інших обмежень, накладених на виробників і розробників пристроїв, Ніссенбойм нагадав, що закон поширюється лише на компанії, які продають пристрої IoT федеральному уряду. Однак, незважаючи на це, він визнав, що уряди штатів і приватні підприємства також прагнуть прийняти його принципи та вказівки.

«Крім того, розробляється все більше міжнародних стандартів і правил кібербезпеки IoT», — сказав він, додавши, що правила допоможуть підвищити рівень безпеки для мільярдів підключених пристроїв, що виробляються щороку в різних секторах.

Проблеми, які ще потрібно вирішити за допомогою Закону про кібербезпеку Інтернету речей

Незважаючи на те, що спостерігачі схвально оцінюють правила, проблеми залишаються для виробників і розробників пристроїв, особливо тих, які не продають продукцію уряду США.

Будівельники повинні відступити, щоб оцінити подальші наслідки акту. Хоча закон не зобов’язує їх впроваджувати оцінку безпеки на пристроях, але оскільки кількість атак різко зростає, інструкції можуть знадобитися, щоб запобігти порушенням.

Ніссенбойм сказав, що такі аналізи та моніторинг повинні бути автоматизовані та керовані зацікавленими сторонами, що займаються безпекою продукту, та інженерними спеціалістами, які повинні будуть взяти на себе ці важливі процеси.

Карпентер із CyberArk попередив, що віддалені підключення до пристроїв IoT все ще становлять серйозну проблему з точки зору оновлення прошивки, керування обліковими даними та обслуговування.

Карпентер висловив надію на те, що деякі питання, пов’язані з цими наразі нерегульованими питаннями, будуть включені в остаточні рекомендації; «Особливо враховуючи те, що робоча сила продовжує зростати», – додав він.