Đạo luật bảo mật không gian mạng IoT đặt quyền bảo mật lên các nhà sản xuất thiết bị

Đạo luật An ninh mạng IoT là một khởi đầu tốt để các chuyên gia IoT triển khai nhiều tính năng bảo mật hơn trên thiết bị. Tuy nhiên, việc đảm bảo tài sản thông qua các biện pháp chủ động, bao gồm đánh giá lỗ hổng và các chương trình tiết lộ thông tin là những lựa chọn có thể hỗ trợ cộng đồng người xây dựng rộng lớn hơn trong cuộc chiến chống lại những kẻ xấu.

Được ký thành luật vào tháng 2020 năm XNUMX, luật pháp lưỡng đảng buộc mọi thiết bị Internet of Things (IoT) được mua bằng tiền của chính phủ phải đáp ứng các tiêu chuẩn bảo mật tối thiểu.

Mặc dù luật có nghĩa là các chính phủ có thể mong đợi các thiết bị IoT an toàn hơn, nhưng trách nhiệm của các nhà xây dựng và nhà sản xuất thiết bị là tăng cường bảo mật thiết bị.

Nhà xây dựng cần hành động ngay để bảo mật thiết bị

Việc triển khai các biện pháp bảo mật đã trở nên cần thiết hơn đối với những người cung cấp cho chính phủ, mặc dù bối cảnh IoT rộng lớn hơn đôi khi được mô tả là Miền Tây hoang dã do thiếu các tiêu chuẩn bảo mật chung, nghiêm ngặt.

Tuy nhiên, bất chấp điều đó, điều cực kỳ quan trọng là các nhà sản xuất thiết bị phải triển khai các biện pháp an ninh mạng ngay bây giờ, Colin Duggan, người sáng lập kiêm Giám đốc điều hành của công ty phần mềm bảo mật IoT BG Networks, nhấn mạnh. Ông cảnh báo rằng các thiết bị IoT là mục tiêu chính cho hoạt động độc hại.

Ông nói, hoàn toàn chắc chắn rằng hiện tại và trong tương lai, bọn tội phạm và các quốc gia thù nghịch đang tìm kiếm và vạch trần những điểm yếu trong các thiết bị IoT được kết nối mạng – giống như chúng hiện đang vạch trần những điểm yếu trong hệ thống CNTT.

Duggan gợi ý rằng các tác nhân độc hại liên tục kiểm tra giới hạn của mục tiêu của họ. Gần đây Hack camera an ninh Verkadas nhấn mạnh rằng những kẻ này không cần có ý định động cơ rõ ràng đằng sau chúng, vì một quan điểm ý thức hệ bị cáo buộc đã thúc đẩy mong muốn xâm nhập vào các thiết bị.

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã đưa ra Khung an ninh mạng, nhưng nó không phải là cách tiếp cận một kích thước phù hợp với tất cả.

Duggan cho biết, các nhà xây dựng và nhà sản xuất thiết bị nên lưu ý rằng một số thiết bị cần phải an toàn hơn những thiết bị khác – dữ liệu chứa trong đó nhạy cảm hơn hoặc vi phạm có thể gây ra các vấn đề tiềm ẩn về an toàn hoặc vận hành vì nhiều thiết bị IoT kiểm soát các hành động và vật chất.

Yaniv Nissenboim, Phó chủ tịch phát triển kinh doanh tại Vdoo, lặp lại ý kiến ​​của Duggan, chỉ ra rằng các nhà sản xuất thiết bị nên bắt đầu “lập bản đồ theo các nguyên tắc này ngay bây giờ” để họ có thể sẵn sàng hành động và giảm thiểu chúng sau khi các quy định mới thực sự hình thành.

Tác động dài hạn của Đạo luật an ninh mạng IoT

Trong ngắn hạn, an ninh mạng thiết bị IoT sẽ không còn được coi là vấn đề được cân nhắc nữa, với thị trường tư nhân được đưa ra ánh sáng rực rỡ trên bầu trời để làm gương.

Tuy nhiên, tác động lâu dài của đạo luật này khiến các nhà sản xuất thiết bị phải suy nghĩ kỹ hơn về việc triển khai bảo mật.

Brian Carpenter, giám đốc phát triển kinh doanh tại CyberArk, nhấn mạnh rằng các nhà sản xuất và xây dựng thiết bị nên xem xét cách thức thực thi các quy định đang chờ xử lý này cũng như cách khách hàng có thể quản lý và bảo mật các kết nối đến và từ các thiết bị IoT.

Carpenter cho biết: “Khách hàng… không muốn có thêm các giải pháp bảo mật đơn lẻ quản lý một phần rủi ro của họ – họ cần một cái nhìn duy nhất về rủi ro của mình để quản lý đúng cách.

Ông nói: “Các nhà phát triển IoT tạo ra các thiết bị có các biện pháp gia tăng và hiệu quả, chẳng hạn như cập nhật chương trình cơ sở an toàn, các bản vá và quản lý danh tính, sẽ có thể phù hợp với các chiến lược giảm thiểu rủi ro của khách hàng và đạt được lợi thế cạnh tranh.

Các nhà xây dựng và nhà sản xuất thiết bị không phải là trọng tâm của luật này – sau khi các chính trị gia lưỡng đảng Hoa Kỳ thực hiện rất nhiều thay đổi về quy định nhằm hạn chế các quốc gia bất hảo can thiệp vào cơ sở hạ tầng công nghệ của đất nước. Trong khi vấn đề đó đã phát triển theo thời gian, với một số điều luật nhằm hạn chế sự tàn phá do những thứ như Nga, Trung Quốc, Iranvà Bắc Triều Tiên, sự thay đổi cụ thể này chắc chắn sẽ giúp ích cho các nhà xây dựng về lâu dài.

Carpenter đề xuất bằng cách cung cấp các hướng dẫn về những gì cấu thành nên bảo mật mạnh mẽ, các nhà sản xuất sẽ cần đáp ứng nhu cầu của khách hàng, với các hướng dẫn của NIST có khả năng chuyển thành luật mới, ở cấp liên bang hoặc tiểu bang.

Một định nghĩa rộng là một định nghĩa tốt

Duggan nói rằng định nghĩa của pháp luật đối với các thiết bị IoT “là tốt vì các thiết bị có giao diện mạng có khả năng thêm các lỗ hổng vào mạng”.

Đạo luật An ninh mạng IoT định nghĩa về những gì cấu thành một thiết bị IoT tuyên bố: một thiết bị phải “có ít nhất một bộ chuyển đổi (cảm biến hoặc bộ truyền động) để tương tác trực tiếp với thế giới vật chất, có ít nhất một giao diện mạng.”

Duggan nói rằng điều này có nghĩa là luật tạo ra một mạng lưới rộng trong khi cũng rõ ràng rằng điện thoại thông minh hoặc máy tính xách tay không được bao gồm vì 'việc triển khai các tính năng an ninh mạng đã được hiểu rõ.'

Tuy nhiên, hạn chế mà ông chỉ ra liên quan đến việc thiếu một nhiệm vụ cụ thể buộc các cơ quan chính phủ phải bổ sung an ninh mạng cho các thiết bị.

Duggan đề cập đến Ủy ban Kinh tế Liên Hợp Quốc về Châu Âu (UNECE) Quy định ô tô WP.29, trong đó nêu rõ rằng đến tháng 2024 năm XNUMX, tất cả các xe mới được sản xuất phải bao gồm an ninh mạng dựa trên cách tiếp cận bảo mật theo thiết kế và có thể tiến hành cập nhật phần mềm.

Ông mô tả Đạo luật An ninh mạng IoT “không mạnh bằng các yêu cầu của UNECE” và về mặt cải thiện an ninh, phù hợp với những gì UNECE đang làm sẽ là một bước đi tốt. Ông nói thêm: “Quy định [UNECE] đó đang buộc ngành công nghiệp ô tô phải thay đổi để triển khai rộng rãi an ninh mạng cần thiết cho ô tô”.

Về những hạn chế khác đối với các nhà sản xuất và xây dựng thiết bị, Nissenboim nhắc nhở rằng luật chỉ áp dụng cho các công ty bán thiết bị IoT cho chính phủ liên bang. Tuy nhiên, bất chấp điều này, ông thừa nhận rằng các chính phủ tiểu bang và doanh nghiệp tư nhân cũng sẽ xem xét áp dụng các nguyên tắc và hướng dẫn của nó.

“Ngoài ra, ngày càng có nhiều tiêu chuẩn và quy định về an ninh mạng IoT quốc tế đang được phát triển,” ông nói, đồng thời cho biết thêm rằng các quy định này sẽ giúp nâng cao mức độ bảo mật đối với hàng tỷ thiết bị được kết nối được sản xuất hàng năm trong các lĩnh vực khác nhau.

Các vấn đề vẫn cần giải quyết với Đạo luật an ninh mạng IoT

Mặc dù các quy định đã được các nhà quan sát đánh giá cao, nhưng các nhà sản xuất và thiết kế thiết bị vẫn gặp vấn đề – đặc biệt là những công ty không bán cho chính phủ Hoa Kỳ.

Các nhà xây dựng cần lùi lại để đánh giá tác động của hành động. Mặc dù luật không buộc họ phải thực hiện các đánh giá bảo mật trên thiết bị, nhưng khi số vụ tấn công tăng vọt, hướng dẫn có thể được yêu cầu để làm chệch hướng các hành vi vi phạm.

Nissenboim cho biết các phân tích và giám sát như vậy sẽ phải được tự động hóa và quản lý bởi cả các bên liên quan về bảo mật sản phẩm và kỹ thuật, những người sẽ phải đảm nhận các quy trình quan trọng này.

CyberArk's Carpenter đã cảnh báo rằng các kết nối từ xa tới các thiết bị IoT vẫn là một thách thức lớn về cập nhật chương trình cơ sở, quản lý thông tin xác thực và bảo trì.

Carpenter bày tỏ hy vọng sẽ thấy một số liên quan đến những vấn đề hiện chưa được kiểm soát đó trong các hướng dẫn cuối cùng; “đặc biệt là khi lực lượng lao động tiếp tục gia tăng,” ông nói thêm.