Fabrikanten en bouwers van IoT-apparaten moeten nu beginnen met het beveiligen van apparaten, omdat van de bredere bouwersgemeenschap wordt verwacht dat ze de richtlijnen van de IoT Cybersecurity Act overnemen.
De IoT Cybersecurity Act is een goed begin voor IoT-professionals om meer beveiligingsfuncties op apparaten te implementeren. Het veiligstellen van activa door middel van proactieve maatregelen, waaronder kwetsbaarheidsbeoordelingen en openbaarmakingsprogramma's, zijn echter opties die de bredere bouwersgemeenschap zouden kunnen steunen in de strijd tegen slechte actoren.
In december 2020 werd de wet ondertekend, de tweeledige wetgeving dwingt elk Internet of Things (IoT)-apparaat dat met overheidsgeld is gekocht, daartoe voldoen aan de minimale veiligheidsnormen.
Hoewel de wet betekent dat overheden veiliger IoT-apparaten mogen verwachten, ligt het aan bouwers en apparaatfabrikanten om de beveiliging van apparaten te verbeteren.
Bouwers moeten nu actie ondernemen om apparaten te beveiligen
Het implementeren van beveiligingsmaatregelen is belangrijker geworden voor degenen die aan de overheid leveren, ook al wordt het bredere IoT-landschap soms gekarakteriseerd als het Wilde Westen vanwege het gebrek aan strenge, gemeenschappelijke beveiligingsnormen.
Desondanks is het echter van cruciaal belang dat apparaatfabrikanten nu cyberbeveiligingsmaatregelen implementeren, benadrukt Colin Duggan, oprichter en CEO van IoT-beveiligingssoftwarebedrijf BG Networks. Hij waarschuwde dat IoT-apparaten een belangrijk doelwit zijn voor kwaadaardige activiteiten.
Er bestaat absoluut geen twijfel over dat criminelen en vijandige natiestaten nu en in de toekomst zwakheden zoeken en blootleggen in IoT-apparaten die via een netwerk zijn verbonden – net zoals ze momenteel zwakheden in IT-systemen blootleggen, zei hij.
Duggan suggereerde dat kwaadwillende actoren voortdurend de grenzen van hun doelwitten op de proef stellen Verkada beveiligingscamera-hacks benadrukken dat deze actoren geen duidelijke motieven achter zich nodig hebben, omdat een vermeend ideologisch standpunt de wens aanwakkerde om apparaten binnen te dringen.
Het Amerikaanse National Institute of Standards and Technology (NIST) heeft de Cyberbeveiligingskader, maar het is geen one-size-fits-all aanpak.
Bouwers en fabrikanten van apparaten moeten er rekening mee houden dat sommige apparaten veiliger moeten zijn dan andere. De gegevens die ze bevatten zijn gevoeliger of inbreuken kunnen potentiële veiligheids- of operationele problemen veroorzaken, omdat veel IoT-apparaten fysieke dingen en acties controleren, zei Duggan.
Yaniv Nissenboim, vice-president bedrijfsontwikkeling bij Vdoo, herhaalde Duggan en gaf aan dat fabrikanten van apparaten ‘nu moeten beginnen met het in kaart brengen van deze richtlijnen’, zodat ze klaar kunnen zijn om actie te ondernemen en deze te verzachten zodra de nieuwe regelgeving echt vorm krijgt.
Langetermijnimpact van de IoT Cybersecurity Act
Op de korte termijn zal de cyberbeveiliging van IoT-apparaten niet langer als een bijzaak worden beschouwd, waarbij de particuliere markt een licht aan de hemel krijgt om als voorbeeld te volgen.
De impact van de wet op de lange termijn legt echter een grotere druk op apparaatfabrikanten om goed na te denken over beveiligingsimplementaties.
Brian Carpenter, directeur bedrijfsontwikkeling bij CyberArk, benadrukte dat fabrikanten en bouwers van apparaten moeten overwegen hoe deze aanstaande regelgeving zal worden gehandhaafd en hoe klanten verbindingen van en naar IoT-apparaten kunnen beheren en beveiligen.
"Klanten... willen niet meer geïsoleerde beveiligingsoplossingen die een deel van hun risico's beheren; ze hebben één enkel overzicht van hun risico's nodig om deze goed te kunnen beheren", aldus Carpenter.
IoT-bouwers die apparaten maken met meer en effectieve maatregelen, zoals veilige firmware-updates, patches en identiteitsbeheer, zullen in staat zijn om in de risicobeperkingsstrategieën van hun klanten te passen en een concurrentievoordeel te behalen, zei hij.
Bouwers en fabrikanten van apparaten stonden niet centraal in deze wetgeving – nadat Amerikaanse politici met twee partijen een overvloed aan veranderingen in de regelgeving hadden doorgevoerd die erop gericht waren schurkenstaten ervan te weerhouden zich te bemoeien met de technologische infrastructuur van het land. Hoewel dit probleem in de loop van de tijd is toegenomen, zijn er verschillende wetgevingsinstrumenten die tot doel hebben de schade veroorzaakt door bijvoorbeeld Rusland, China, Iran en Noord Koreazal deze specifieke verandering bouwers op de lange termijn zeker helpen.
Door richtlijnen te geven over wat sterke beveiliging inhoudt, zullen de fabrikanten uiteindelijk aan de behoeften van de klant moeten voldoen, waarbij de richtlijnen van NIST waarschijnlijk zullen worden omgezet in nieuwe wetgeving, zowel op federaal als op staatsniveau, suggereerde Carpenter.
Een brede definitie is een goede definitie
Duggan zei dat de definitie van IoT-apparaten in de wetgeving “goed is omdat apparaten met netwerkinterfaces mogelijk kwetsbaarheden aan het netwerk kunnen toevoegen”.
De IoT Cybersecurity Act definitie van wat een IoT-apparaat is stelt: een apparaat moet “minstens één transducer (sensor of actuator) hebben voor directe interactie met de fysieke wereld, en minstens één netwerkinterface hebben.”
Duggan zei dat dit betekent dat de wet een breed net uitstraalt, terwijl het ook duidelijk is dat smartphones of laptops hier niet onder vallen, omdat 'de implementatie van cyberbeveiligingsfuncties al goed wordt begrepen.'
De beperking waar hij op wees, betrof echter het ontbreken van een specifiek mandaat dat overheidsinstanties zou dwingen cyberbeveiliging aan apparaten toe te voegen.
Duggan verwees naar de Economische Commissie voor Europa van de Verenigde Naties (VN/ECE) WP.29 automobielvoorschriften, waarin staat dat tegen juli 2024 alle nieuw geproduceerde voertuigen beschikbaar zullen zijn moet cyberbeveiliging omvatten op basis van een security-by-design-benadering en kunnen software-updates uitvoeren.
Hij beschreef de IoT Cybersecurity Act als “niet zo sterk als de VN/ECE-vereisten”, en dat in termen van het verbeteren van de veiligheid het matchen van wat de VN/ECE doet een goede stap zou zijn. “Die [UNECE]-regelgeving dwingt veranderingen in de auto-industrie om de benodigde cyberbeveiliging in auto’s breed te implementeren”, voegde hij eraan toe.
Wat betreft andere beperkingen die aan fabrikanten en bouwers van apparaten worden opgelegd, herinnerde Nissenboim eraan dat de wet alleen van toepassing is op bedrijven die IoT-apparaten aan de federale overheid verkopen. Desondanks gaf hij echter toe dat deelstaatregeringen en particuliere ondernemingen ook zullen proberen de principes en richtlijnen ervan over te nemen.
“Bovendien is er een groeiend aantal internationale IoT-standaarden en -regelgeving op het gebied van cyberbeveiliging in ontwikkeling”, zei hij, eraan toevoegend dat de regelgeving zal helpen hogere beveiligingsniveaus op te leggen aan de miljarden verbonden apparaten die elk jaar in verschillende sectoren worden geproduceerd.
Kwesties die nog moeten worden aangepakt met de IoT Cybersecurity Act
Hoewel de regelgeving door waarnemers wordt geprezen, blijven er problemen bestaan voor fabrikanten en bouwers van apparaten – vooral degenen die niet aan de Amerikaanse overheid verkopen.
Bouwers moeten een stapje terugdoen om de voortschrijdende implicaties van de wet te evalueren. Hoewel de wet hen niet dwingt om beveiligingsevaluaties op apparaten uit te voeren, maar naarmate het aantal aanvallen omhoog schiet, kunnen richtlijnen wel nodig zijn om inbreuken af te wenden.
Nissenboim zei dat dergelijke analyses en monitoring geautomatiseerd en beheerd zullen moeten worden door zowel productbeveiligings- als technische belanghebbenden, die deze belangrijke processen op zich zullen moeten nemen.
Carpenter van CyberArk waarschuwde dat externe verbindingen met IoT-apparaten nog steeds een grote uitdaging vormen op het gebied van firmware-updates, referentiebeheer en onderhoud.
Carpenter sprak de hoop uit dat hij in de definitieve richtlijnen enkele kwesties zou zien die verband houden met de momenteel niet-gereguleerde kwesties; “Vooral nu het personeelsbestand blijft groeien”, voegde hij eraan toe.
- Voordeel
- het richten
- Activa
- geautomatiseerde
- automotive
- auto-industrie
- tweepartij
- lichaam
- inbreuken
- bouwer
- bedrijfsdeskundigen
- auto's
- Veroorzaken
- veroorzaakt
- ceo
- uitdagen
- verandering
- commissie
- Gemeen
- gemeenschap
- Bedrijven
- afstand
- Congres
- aangesloten apparaten
- aansluitingen
- blijft
- criminelen
- Klanten
- Cybersecurity
- gegevens
- Ontwikkeling
- systemen
- Director
- Economisch
- effectief
- Engineering
- Europa
- Voordelen
- Federaal
- Federale overheid
- geschikt
- Focus
- volgen
- oprichter
- toekomst
- goed
- Overheid
- overheden
- Groeiend
- richtlijnen
- Markeer
- Hoe
- HTTPS
- Identiteit
- identiteitsbeheer
- Impact
- Inclusief
- -industrie
- Infrastructuur
- aandachtig
- Internationale
- Internet
- internet van dingen
- iot
- IoT-apparaat
- iot apparaten
- problemen
- IT
- juli-
- laptops
- Wet
- Wetgeving
- Niveau
- licht
- groot
- management
- Markt
- geld
- Grensverkeer
- netto
- netwerk
- netwerken
- Nieuwe wetgeving
- nummers
- bieden
- Opties
- Overige
- Overig
- Patches
- privaat
- geproduceerd
- Product
- Programma's
- Regulatie
- reglement
- Voorwaarden
- Risico
- Risk Mitigation
- Veiligheid
- Sectoren
- veiligheid
- Beveiligingssoftware
- Bermuda's
- smartphones
- So
- Software
- Oplossingen
- normen
- begin
- Land
- Staten
- Systems
- Technologie
- proef
- De toekomst
- niet de tijd of
- ons
- Amerikaanse overheid
- United
- Verenigde Naties
- updates
- Voertuigen
- Bekijk
- kwetsbaarheden
- kwetsbaarheid
- West
- WIE
- Workforce
- wereld
- jaar