IoT küberturvalisuse seadus asetab seadmetootjatele turvakohustuse

IoT küberturvalisuse seadus on asjade Interneti-professionaalidele hea algus seadmetes rohkemate turvafunktsioonide juurutamiseks. Varade kindlustamine ennetavate meetmete, sealhulgas haavatavuse hindamiste ja avalikustamisprogrammide abil on aga võimalused, mis võiksid toetada laiemat ehitajate kogukonda võitluses halbade tegijate vastu.

Seadus allkirjastati 2020. aasta detsembris kahepoolsed õigusaktid sunnib iga valitsuse raha eest ostetud asjade Interneti (IoT) seadet kasutama vastama minimaalsetele turvastandarditele.

Kuigi seadus tähendab, et valitsused võivad oodata turvalisemaid IoT-seadmeid, lasub ehitajatel ja seadmetootjatel kohustus seadmete turvalisust tugevdada.

Ehitajad peavad seadmete kaitsmiseks kohe tegutsema

Turvameetmete rakendamine on muutunud valitsusele tarnijate jaoks olulisemaks, kuigi laiemat asjade Interneti-maastikku iseloomustatakse mõnikord metsiku läänena, kuna sellel puuduvad ranged ja ühised turvastandardid.

Sellele vaatamata on aga ülimalt oluline, et seadmete tootjad rakendaksid küberturvalisuse meetmeid juba praegu, rõhutas asjade Interneti turvatarkvarafirma BG Networks asutaja ja tegevjuht Colin Duggan. Ta hoiatas, et asjade Interneti-seadmed on pahatahtliku tegevuse peamised sihtmärgid.

Pole kahtlust, et praegu ja tulevikus otsivad ja paljastavad kurjategijad ja vastandlikud rahvusriigid võrku ühendatud asjade Interneti-seadmete nõrkusi – täpselt nagu praegu paljastavad nad IT-süsteemide nõrkusi, ütles ta.

Duggan soovitas pahatahtlikel osalejatel pidevalt katsetada oma sihtmärkide piire Verkada turvakaamera häkkimines rõhutage, et need näitlejad ei vaja nende taga selget motiivi, kuna väidetav ideoloogiline seisukoht ajendas soovi tungida seadmetesse.

USA riiklik standardite ja tehnoloogia instituut (NIST) on välja töötanud Küberturvalisuse raamistik, kuid see ei ole kõigile sobiv lähenemisviis.

Ehitajad ja seadmete tootjad peaksid arvestama, et mõned seadmed peavad olema turvalisemad kui teised – kas nendes sisalduvad andmed on tundlikumad või võivad rikkumised põhjustada potentsiaalseid ohutus- või tööprobleeme, kuna paljud asjade Interneti-seadmed juhivad füüsilisi asju ja toiminguid, ütles Duggan.

Yaniv Nissenboim, Vdoo äriarenduse asepresident, kordas Dugganit, viidates sellele, et seadmete tootjad peaksid asuma nende juhiste järgi kohe järgima, et nad saaksid olla valmis tegutsema ja neid leevendama, kui uued eeskirjad tõesti kuju võtavad.

IoT küberturvalisuse seaduse pikaajaline mõju

Lühiajalises perspektiivis ei peeta asjade Interneti-seadmete küberturvalisust enam tagamõtteks, eraturule antakse eeskujuks särav valgus taevas.

Seaduse pikaajaline mõju paneb aga seadmete tootjatele suurema koormuse turberakenduste üle järele mõtlema.

CyberArki äriarenduse direktor Brian Carpenter rõhutas, et seadmete tootjad ja ehitajad peaksid kaaluma, kuidas neid menetluses olevaid eeskirju jõustatakse ja kuidas kliendid saavad hallata ja turvata ühendusi asjade Interneti-seadmetega ja nendest.

"Kliendid … ei taha rohkem siledad turvalahendusi, mis juhivad osa nende riskidest – nad vajavad oma riskidest ühtset vaadet, et seda õigesti juhtida," ütles Carpenter.

Ta ütles, et asjade Interneti-ehitajad, kes loovad seadmeid täiustatud ja tõhusate meetmetega, nagu turvalised püsivara värskendused, paigad ja identiteedihaldus, saavad sobituda oma klientide riskide maandamise strateegiatega ja saada konkurentsieelise.

Ehitajad ja seadmete tootjad ei olnud selle õigusakti keskmes – pärast seda, kui kahepoolsed USA poliitikud tegid hulgaliselt regulatiivseid muudatusi, mille eesmärk oli piirata petturite riikide sekkumist riigi tehnoloogilisesse infrastruktuuri. Kuigi see probleem on aja jooksul kasvanud, mitmete õigusaktide eesmärk on ohjeldada kaose, mille on põhjustanud Venemaa, Hiina, Iraanja Põhja-Korea, aitab see konkreetne muudatus ehitajaid kindlasti pikemas perspektiivis.

Carpenter soovitas, et pakkudes juhiseid selle kohta, mis on tugev turvalisus, peavad tootjad lõpuks täitma klientide vajadusi, kusjuures NIST-i juhised muutuvad tõenäoliselt uuteks õigusaktideks kas föderaalsel või osariigi tasandil.

Lai definitsioon on hea definitsioon

Duggan ütles, et IoT-seadmete õigusaktide määratlus "on hea, kuna võrguliidestega seadmed võivad võrku lisada haavatavusi".

IoT küberturvalisuse seadus IoT-seadme määratlus sätestab: seadmel peab olema vähemalt üks muundur (sensor või täitur) füüsilise maailmaga vahetuks suhtlemiseks, vähemalt üks võrguliides.

Duggan ütles, et see tähendab, et seadus loob laia silmaringi, kuid samas on selge, et nutitelefonid või sülearvutid ei ole kaasatud, kuna "küberturvalisuse funktsioonide rakendamine on juba hästi mõistetav".

Piirang, millele ta viitas, puudutas aga konkreetse volituse puudumist, mis sunniks valitsusasutusi lisama seadmetele küberturvalisust.

Duggan viitas ÜRO Euroopa Majanduskomisjonile (UNECE) WP.29 autotööstuse eeskirjad, milles on kirjas, et juuliks 2024 kõik äsja toodetud sõidukid peab hõlmama küberturvalisust, mis põhineb turvalisusel kavandatud lähenemisviisil ja suudavad tarkvarauuendusi läbi viia.

Ta kirjeldas, et asjade Interneti küberjulgeoleku seadus ei ole "nii tugev kui UNECE nõuded" ja et turvalisuse parandamise seisukohalt oleks UNECE tegevusega vastavusse viimine hea samm. "See [UNECE] määrus sunnib autotööstust muutma, et laialdaselt rakendada autodes vajalikku küberturvalisust," lisas ta.

Seoses muude seadmete tootjatele ja ehitajatele seatud piirangutega tuletas Nissenboim meelde, et seadus kehtib ainult ettevõtetele, kes müüvad asjade Interneti-seadmeid föderaalvalitsusele. Vaatamata sellele tunnistas ta, et ka osariigi valitsused ja eraettevõtted püüavad selle põhimõtteid ja suuniseid omaks võtta.

"Lisaks on väljatöötamisel kasvav hulk rahvusvahelisi IoT küberturvalisuse standardeid ja määrusi," ütles ta ja lisas, et eeskirjad aitavad sundida kõrgemat turbetaset miljarditele ühendatud seadmetele, mida igal aastal erinevates sektorites toodetakse.

IoT küberturvalisuse seadusega seotud probleemid, mida tuleb veel lahendada

Ehkki vaatlejad on määrusi kiitnud, jäävad probleemid seadmete tootjatele ja ehitajatele, eriti neile, kes ei müü USA valitsusele.

Ehitajad peavad taganema, et hinnata teo mõjusid. Kuigi seadus ei sunni neid seadmetes turvahinnanguid rakendama, kuid rünnakute arvu hüppeliselt kasvades võib rikkumiste tõrjumiseks vaja minna juhiseid.

Nissenboim ütles, et selliseid analüüse ja jälgimist peavad automatiseerima ja neid haldama nii tooteturbe kui ka inseneri sidusrühmad, kes peavad need olulised protsessid enda kanda võtma.

CyberArki Carpenter hoiatas, et kaugühendused asjade Interneti-seadmetega pakuvad püsivara värskenduste, mandaadihalduse ja hoolduse osas endiselt suurt väljakutset.

Carpenter avaldas lootust näha viimastes suunistes mõnda nende praegu reguleerimata küsimustega seonduvat; "Eriti kuna tööjõud kasvab jätkuvalt," lisas ta.