Az IoT kiberbiztonsági törvénye biztonsági terhet ró az eszközgyártókra

Az IoT Cybersecurity Act jó kezdet az IoT-szakemberek számára, hogy több biztonsági funkciót telepítsenek az eszközökön. Az eszközök proaktív intézkedésekkel, többek között sebezhetőségi felmérésekkel és közzétételi programokkal történő biztosítása azonban olyan lehetőségek, amelyek támogathatják a szélesebb építőközösséget a rossz szereplők elleni küzdelemben.

A 2020 decemberében aláírt törvény kétpárti törvényhozás minden állami pénzen vásárolt Internet of Things (IoT) eszközt arra kényszerít megfelelnek a minimális biztonsági előírásoknak.

Míg a törvény azt jelenti, hogy a kormányok biztonságosabb IoT-eszközökre számíthatnak, az építőkre és az eszközgyártókra hárul az eszközök biztonságának megerősítése.

Az építőknek most kell cselekedniük az eszközök biztonsága érdekében

A biztonsági intézkedések végrehajtása fontosabbá vált a kormánynak szállítók számára, még akkor is, ha a tágabb IoT-környezetet olykor vadnyugatként jellemzik, mivel hiányoznak a szigorú, közös biztonsági szabványok.

Ennek ellenére rendkívül fontos, hogy az eszközgyártók már most bevezessék a kiberbiztonsági intézkedéseket – hangsúlyozta Colin Duggan, a BG Networks IoT biztonsági szoftvereket gyártó cég alapítója és vezérigazgatója. Figyelmeztetett arra, hogy az IoT-eszközök a rosszindulatú tevékenységek elsődleges célpontjai.

Kétségtelen, hogy most és a jövőben a bűnözők és az ellenséges nemzetállamok a hálózatba kapcsolt IoT-eszközök gyengeségeit keresik és feltárják – ahogy jelenleg az informatikai rendszerek gyengeségeit is feltárják – mondta.

Duggan azt javasolta, hogy a rosszindulatú szereplők folyamatosan teszteljék célpontjaik határait .A közelmúltban Verkada biztonsági kamera feltöréses hangsúlyozzák, hogy ezeknek a szereplőknek nincs szükségük egyértelmű indítéki szándékra a hátuk mögött, mivel egy állítólagos ideológiai nézőpont vezérelte az eszközökbe való behatolás vágyát.

Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) megállapította a Kiberbiztonsági keretrendszer, de ez nem egy mindenkire érvényes megközelítés.

Az építőknek és az eszközgyártóknak figyelembe kell venniük, hogy bizonyos eszközöknek nagyobb biztonságban kell lenniük, mint másoknak – vagy a bennük lévő adatok érzékenyebbek, vagy a jogsértések potenciális biztonsági vagy működési problémákat okozhatnak, mivel sok IoT-eszköz fizikai dolgokat és műveleteket irányít – mondta Duggan.

Yaniv Nissenboim, a Vdoo üzletfejlesztési alelnöke Duggan-t erősítette, jelezve, hogy az eszközgyártóknak már most el kell kezdeniük „megfelelni ezeket az irányelveket”, hogy készen álljanak a cselekvésre és azok enyhítésére, amint az új szabályozás valóban kialakul.

Az IoT kiberbiztonsági törvény hosszú távú hatása

Rövid távon az IoT-eszközök kiberbiztonsága már nem lesz utólagos gondolat, a magánpiac követendő példaként ragyogó fényt kapott az égen.

A törvény hosszú távú hatása azonban nagyobb terhet ró az eszközgyártókra, hogy alaposan átgondolják a biztonsági megvalósításokat.

Brian Carpenter, a CyberArk üzletfejlesztési igazgatója hangsúlyozta, hogy az eszközgyártóknak és -gyártóknak meg kell fontolniuk, hogyan fogják ezeket a függőben lévő szabályozásokat betartatni, és az ügyfelek hogyan kezelhetik és biztonságossá tehetik az IoT-eszközökhöz és az azokból származó kapcsolatokat.

„Az ügyfelek… nem akarnak több szilárd biztonsági megoldást, amely kezeli kockázataik egy részét – a megfelelő kezeléshez egységes nézetre van szükségük a kockázatokról” – mondta Carpenter.

Az IoT-építők, amelyek fokozott és hatékony intézkedésekkel, például biztonságos firmware-frissítésekkel, javításokkal és identitáskezeléssel hoznak létre eszközöket, képesek lesznek beilleszkedni ügyfeleik kockázatcsökkentő stratégiáiba, és versenyelőnyre tesznek szert – mondta.

Az építők és az eszközgyártók nem álltak ennek a jogszabálynak a középpontjában – miután a kétpárti amerikai politikusok rengeteg szabályozási változtatást hajtottak végre annak érdekében, hogy megfékezzék a szélhámos nemzeteket az ország technológiai infrastruktúrájába való beavatkozástól. Noha ez a probléma az idők során egyre csak nőtt, számos jogszabály célja, hogy megfékezze az olyan pusztításokat, mint a Oroszország, Kína, Iránés Észak Kórea, ez a bizonyos változás hosszú távon minden bizonnyal segíti az építőket.

Azzal, hogy iránymutatást adnak arról, hogy mi számít erős biztonságnak, a gyártóknak végső soron meg kell felelniük a vásárlók igényeinek, és a NIST irányelvei valószínűleg új jogszabályokká alakulnak át akár szövetségi, akár állami szinten – javasolta Carpenter.

A tág definíció jó definíció

Duggan azt mondta, hogy a jogszabályok IoT-eszközökre vonatkozó meghatározása „jó, mert a hálózati interfésszel rendelkező eszközök potenciálisan sebezhetővé tehetik a hálózatot”.

Az IoT kiberbiztonsági törvénye annak meghatározása, hogy mi minősül IoT-eszköznek kimondja: egy eszköznek „legalább egy jelátalakítóval (érzékelővel vagy aktuátorral) kell rendelkeznie a fizikai világgal való közvetlen interakcióhoz, és rendelkeznie kell legalább egy hálózati interfésszel”.

Duggan szerint ez azt jelenti, hogy a törvény széles hálót vet ki, miközben egyértelművé teszi, hogy az okostelefonok vagy laptopok nem tartoznak bele, mivel „a kiberbiztonsági funkciók megvalósítása már jól ismert”.

A korlátozás azonban, amelyre rámutatott, a konkrét felhatalmazás hiányára vonatkozik, amely arra kényszerítené a kormányzati szerveket, hogy kiberbiztonságot adjanak az eszközökhöz.

Duggan az Egyesült Nemzetek Szervezetének Európai Gazdasági Bizottságára (UNECE) hivatkozott. WP.29 autóipari előírások, amelyek kimondják, hogy 2024 júliusáig minden újonnan gyártott jármű magában kell foglalnia a beépített biztonságon alapuló kiberbiztonságot és képesek szoftverfrissítéseket végrehajtani.

Leírta, hogy az IoT kiberbiztonsági törvény „nem olyan erős, mint az ENSZ-EGB követelményei”, és a biztonság javítása szempontjából jó lépés lenne az ENSZ-EGB tevékenységének összehangolása. „Ez az [ENSZ-EGB] szabályozás változásra kényszeríti az autóipart, hogy széles körben alkalmazzák a szükséges kiberbiztonságot az autókban” – tette hozzá.

Az eszközgyártók és -gyártók egyéb korlátozásai kapcsán Nissenboim emlékeztetett arra, hogy a törvény csak az IoT-eszközöket a szövetségi kormánynak értékesítő cégekre vonatkozik. Ennek ellenére elismerte, hogy az állami kormányok és a magánvállalkozások is törekedni fognak az elvek és irányelvek átvételére.

„Emellett egyre több nemzetközi IoT kiberbiztonsági szabvány és szabályozás van kidolgozás alatt” – mondta, hozzátéve, hogy a szabályozás segít magasabb biztonsági szintet kényszeríteni a különböző szektorokban évente előállított több milliárd csatlakoztatott eszközre.

Továbbra is megoldandó problémák az IoT kiberbiztonsági törvénnyel kapcsolatban

Míg megfigyelők dicsérték a szabályozást, továbbra is gondok maradnak az eszközgyártók és -gyártók számára – különösen azokkal, akik nem értékesítenek az Egyesült Államok kormányának.

Az építőknek vissza kell állniuk, hogy értékeljék a cselekmény gördülő következményeit. Bár a törvény nem kényszeríti őket arra, hogy biztonsági értékeléseket hajtsanak végre az eszközökön, de mivel a támadások száma az egekbe szökik, szükség lehet az útmutatásra a jogsértések elhárításához.

Nissenboim szerint az ilyen elemzéseket és felügyeletet automatizálni kell, és mind a termékbiztonsági, mind a mérnöki érdekelt feleknek kell kezelniük, akiknek fel kell vállalniuk ezeket a fontos folyamatokat.

A CyberArk's Carpenter figyelmeztetett, hogy az IoT-eszközökhöz való távoli kapcsolatok továbbra is komoly kihívást jelentenek a firmware-frissítések, a hitelesítő adatok kezelése és a karbantartás terén.

Carpenter reményét fejezte ki afelől, hogy a végső iránymutatásokban néhány a jelenleg nem szabályozott kérdésekkel kapcsolatos; „Különösen azért, mert a munkaerő folyamatosan szaporodik” – tette hozzá.