IoT साइबर सुरक्षा अधिनियम डिवाइस निर्माताओं पर सुरक्षा का दायित्व डालता है

IoT साइबर सुरक्षा अधिनियम IoT पेशेवरों के लिए उपकरणों पर अधिक सुरक्षा सुविधाएँ लागू करने की एक अच्छी शुरुआत है। हालाँकि, सक्रिय उपायों के माध्यम से परिसंपत्तियों को सुरक्षित करना, जिसमें भेद्यता मूल्यांकन और प्रकटीकरण कार्यक्रम शामिल हैं, ऐसे विकल्प हैं जो बुरे अभिनेताओं के खिलाफ लड़ाई में व्यापक बिल्डर समुदाय का समर्थन कर सकते हैं।

दिसंबर 2020 में कानून में हस्ताक्षरित द्विदलीय विधान सरकारी धन से खरीदे गए किसी भी इंटरनेट ऑफ थिंग्स (IoT) उपकरण को बाध्य करता है न्यूनतम सुरक्षा मानकों को पूरा करें.

जबकि कानून का मतलब है कि सरकारें अधिक सुरक्षित IoT उपकरणों की उम्मीद कर सकती हैं, डिवाइस सुरक्षा को मजबूत करने की जिम्मेदारी बिल्डरों और डिवाइस निर्माताओं पर है।

बिल्डरों को उपकरणों को सुरक्षित करने के लिए अभी कार्रवाई करने की आवश्यकता है

सरकार को आपूर्ति करने वालों के लिए सुरक्षा उपायों को लागू करना अधिक आवश्यक हो गया है, भले ही कठोर, सामान्य सुरक्षा मानकों की कमी को देखते हुए व्यापक IoT परिदृश्य को कभी-कभी वाइल्ड वेस्ट के रूप में जाना जाता है।

हालाँकि, इसके बावजूद, यह अत्यंत महत्वपूर्ण है कि डिवाइस निर्माता अब साइबर सुरक्षा उपायों को लागू करें, IoT सुरक्षा सॉफ्टवेयर कंपनी बीजी नेटवर्क्स के संस्थापक और सीईओ, कॉलिन डुग्गन ने जोर दिया। उन्होंने चेतावनी दी कि IoT डिवाइस दुर्भावनापूर्ण गतिविधि के लिए प्रमुख लक्ष्य हैं।

इसमें कोई संदेह नहीं है कि अब और भविष्य में अपराधी और विरोधी राष्ट्र राज्य नेटवर्क से जुड़े आईओटी उपकरणों में कमजोरियों की तलाश कर रहे हैं और उन्हें उजागर कर रहे हैं - जैसे वे वर्तमान में आईटी सिस्टम में कमजोरियों को उजागर कर रहे हैं, उन्होंने कहा।

डुग्गन ने सुझाव दिया कि दुर्भावनापूर्ण अभिनेता लगातार अपने लक्ष्य की सीमाओं का परीक्षण करते हैं। हाल ही में वेरकाडा सुरक्षा कैमरा हैकs इस बात पर प्रकाश डालें कि इन अभिनेताओं को अपने पीछे स्पष्ट उद्देश्य की आवश्यकता नहीं है, क्योंकि एक कथित वैचारिक दृष्टिकोण ने उपकरणों में घुसने की इच्छा पैदा की है।

यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने इसकी रूपरेखा तैयार की है साइबर सुरक्षा ढांचा, लेकिन यह सभी के लिए एक ही आकार में फिट होने वाला दृष्टिकोण नहीं है।

डुग्गन ने कहा कि बिल्डरों और डिवाइस निर्माताओं को ध्यान देना चाहिए कि कुछ उपकरणों को दूसरों की तुलना में अधिक सुरक्षित होने की आवश्यकता है - या तो उनमें मौजूद डेटा अधिक संवेदनशील है या उल्लंघनों से संभावित सुरक्षा या परिचालन संबंधी समस्याएं हो सकती हैं क्योंकि कई IoT डिवाइस भौतिक चीजों और कार्यों को नियंत्रित करते हैं।

Vdoo में व्यवसाय विकास के उपाध्यक्ष यानिव निसेनबोइम ने डुग्गन की बात दोहराते हुए संकेत दिया कि डिवाइस निर्माताओं को "अभी से इन दिशानिर्देशों का पालन करना" शुरू कर देना चाहिए ताकि नए नियम वास्तव में आकार लेने के बाद वे कार्य करने और उन्हें कम करने के लिए तैयार हो सकें।

IoT साइबर सुरक्षा अधिनियम का दीर्घकालिक प्रभाव

अल्पावधि में, IoT डिवाइस साइबर सुरक्षा को अब एक बाद का विचार नहीं माना जाएगा, निजी बाजार को एक उदाहरण के रूप में अनुसरण करने के लिए आकाश में चमकदार रोशनी दी जाएगी।

हालाँकि, अधिनियम का दीर्घकालिक प्रभाव डिवाइस निर्माताओं पर सुरक्षा कार्यान्वयन के बारे में गंभीरता से सोचने का अधिक दायित्व डालता है।

साइबरआर्क में व्यवसाय विकास के निदेशक ब्रायन कारपेंटर ने जोर देकर कहा कि डिवाइस निर्माताओं और बिल्डरों को इस बात पर विचार करना चाहिए कि इन लंबित नियमों को कैसे लागू किया जाएगा और ग्राहक IoT उपकरणों से कनेक्शन कैसे प्रबंधित और सुरक्षित कर सकते हैं।

कारपेंटर ने कहा, "ग्राहक... अधिक गुप्त सुरक्षा समाधान नहीं चाहते हैं जो उनके जोखिम का एक हिस्सा प्रबंधित करते हैं - उन्हें इसे ठीक से प्रबंधित करने के लिए अपने जोखिमों के बारे में एक ही दृष्टिकोण की आवश्यकता है।"

उन्होंने कहा, IoT बिल्डर्स जो सुरक्षित फर्मवेयर अपडेट, पैच और पहचान प्रबंधन जैसे बढ़े हुए और प्रभावी उपायों के साथ डिवाइस बनाते हैं, वे अपने ग्राहकों की जोखिम शमन रणनीतियों में फिट होने और प्रतिस्पर्धात्मक लाभ हासिल करने में सक्षम होंगे।

बिल्डर्स और डिवाइस निर्माता इस कानून का फोकस नहीं थे - द्विदलीय अमेरिकी राजनेताओं द्वारा दुष्ट देशों को देश के तकनीकी बुनियादी ढांचे में हस्तक्षेप करने से रोकने के उद्देश्य से कई नियामक परिवर्तन किए जाने के बाद। जबकि यह मुद्दा समय के साथ बढ़ता जा रहा है, ऐसे कई कानूनों का उद्देश्य इन जैसे लोगों के कारण होने वाली तबाही को रोकना है रूस, चीन, ईरान, तथा उत्तर कोरिया, यह विशेष परिवर्तन निश्चित रूप से दीर्घावधि में बिल्डरों को मदद करेगा।

कारपेंटर ने सुझाव दिया कि मजबूत सुरक्षा के गठन पर दिशानिर्देश प्रदान करके, निर्माताओं को अंततः ग्राहकों की जरूरतों को पूरा करने की आवश्यकता होगी, एनआईएसटी के दिशानिर्देशों को संघीय या राज्य स्तर पर नए कानून में बदलने की संभावना है।

एक व्यापक परिभाषा एक अच्छी परिभाषा है

डुग्गन ने कहा कि IoT उपकरणों के लिए कानून की परिभाषा "अच्छी है क्योंकि नेटवर्क इंटरफेस वाले डिवाइस संभावित रूप से नेटवर्क में कमजोरियां जोड़ सकते हैं"।

IoT साइबर सुरक्षा अधिनियम IoT डिवाइस क्या है इसकी परिभाषा कहता है: एक उपकरण में "भौतिक दुनिया के साथ सीधे बातचीत करने के लिए कम से कम एक ट्रांसड्यूसर (सेंसर या एक्चुएटर) होना चाहिए, कम से कम एक नेटवर्क इंटरफ़ेस होना चाहिए।"

डुग्गन ने कहा कि इसका मतलब है कि कानून एक व्यापक जाल बिछाता है, जबकि यह भी स्पष्ट है कि स्मार्टफोन या लैपटॉप शामिल नहीं हैं क्योंकि 'साइबर सुरक्षा सुविधाओं का कार्यान्वयन पहले से ही अच्छी तरह से समझा गया है।'

हालाँकि उन्होंने जिस सीमा की ओर इशारा किया वह एक विशिष्ट अधिदेश की कमी से संबंधित थी जो सरकारी एजेंसियों को उपकरणों में साइबर सुरक्षा जोड़ने के लिए मजबूर करेगी।

डुग्गन ने यूरोप के लिए संयुक्त राष्ट्र आर्थिक आयोग (यूएनईसीई) का हवाला दिया WP.29 ऑटोमोटिव नियम, जिसमें कहा गया है कि जुलाई 2024 तक सभी नए उत्पादित वाहन सुरक्षा-दर-डिज़ाइन दृष्टिकोण पर आधारित साइबर सुरक्षा को शामिल करना चाहिए और सॉफ़्टवेयर अद्यतन करने में सक्षम हैं।

उन्होंने IoT साइबर सुरक्षा अधिनियम को "यूएनईसीई आवश्यकताओं जितना मजबूत नहीं" बताया और कहा कि सुरक्षा में सुधार के मामले में, यूएनईसीई जो कर रहा है उससे मेल खाना एक अच्छा कदम होगा। उन्होंने कहा, "वह (यूएनईसीई) विनियमन कारों में आवश्यक साइबर सुरक्षा को व्यापक रूप से लागू करने के लिए ऑटोमोटिव उद्योग में बदलाव के लिए मजबूर कर रहा है।"

डिवाइस निर्माताओं और बिल्डरों पर लगाई गई अन्य सीमाओं के संदर्भ में, निसेनबोइम ने याद दिलाया कि कानून केवल संघीय सरकार को IoT डिवाइस बेचने वाली कंपनियों पर लागू होता है। हालाँकि, इसके बावजूद उन्होंने स्वीकार किया कि राज्य सरकारें और निजी उद्यम भी इसके सिद्धांतों और दिशानिर्देशों को अपनाने पर विचार करेंगे।

उन्होंने कहा, "इसके अलावा, विकास के तहत अंतरराष्ट्रीय IoT साइबर सुरक्षा मानकों और विनियमों का एक बढ़ता हुआ निकाय है," उन्होंने कहा कि नियम विभिन्न क्षेत्रों में हर साल उत्पादित अरबों कनेक्टेड उपकरणों पर उच्च सुरक्षा स्तर लागू करने में मदद करेंगे।

IoT साइबर सुरक्षा अधिनियम से संबंधित मुद्दे अभी भी संबोधित किए जाने बाकी हैं

हालाँकि पर्यवेक्षकों द्वारा नियमों की सराहना की गई है, लेकिन उपकरण निर्माताओं और बिल्डरों के लिए समस्याएँ बनी हुई हैं - विशेष रूप से वे जो अमेरिकी सरकार को नहीं बेच रहे हैं।

बिल्डरों को अधिनियम के प्रभाव का मूल्यांकन करने के लिए पीछे खड़े होने की जरूरत है। हालांकि कानून उन्हें उपकरणों पर सुरक्षा मूल्यांकन लागू करने के लिए बाध्य नहीं कर रहा है, लेकिन जैसे-जैसे हमले की संख्या बढ़ती है, उल्लंघनों से बचने के लिए मार्गदर्शन की आवश्यकता हो सकती है।

निसेनबोइम ने कहा कि इस तरह के विश्लेषण और निगरानी को उत्पाद सुरक्षा और इंजीनियरिंग हितधारकों दोनों द्वारा स्वचालित और प्रबंधित किया जाना होगा, जिन्हें इन महत्वपूर्ण प्रक्रियाओं को अपनाना होगा।

साइबरआर्क के कारपेंटर ने चेतावनी दी कि IoT उपकरणों के दूरस्थ कनेक्शन अभी भी फर्मवेयर अपडेट, क्रेडेंशियल प्रबंधन और रखरखाव के मामले में एक बड़ी चुनौती पेश करते हैं।

कारपेंटर ने अंतिम दिशानिर्देशों में वर्तमान में अनियमित मुद्दों से संबंधित कुछ मुद्दों को देखने की आशा व्यक्त की; उन्होंने कहा, "खासकर जब कार्यबल लगातार बढ़ रहा है।"