Producătorii și producătorii de dispozitive IoT trebuie să înceapă să securizeze dispozitivele acum, deoarece comunitatea mai largă de constructori este de așteptat să adopte îndrumările din Legea privind securitatea cibernetică IoT.
Actul de securitate cibernetică IoT este un început bun pentru profesioniștii IoT de a implementa mai multe funcții de securitate pe dispozitive. Cu toate acestea, securizarea activelor prin măsuri proactive, inclusiv evaluări de vulnerabilitate și programe de dezvăluire sunt opțiuni care ar putea sprijini comunitatea mai largă a constructorilor în lupta împotriva actorilor răi.
Semnat în lege în decembrie 2020, legislație bipartizană obligă orice dispozitiv Internet of Things (IoT) achiziționat cu bani guvernamentali respectă standardele minime de securitate.
În timp ce legea înseamnă că guvernele se pot aștepta la dispozitive IoT mai sigure, sarcina de a consolida securitatea dispozitivelor revine constructorilor și producătorilor de dispozitive.
Constructorii trebuie să acționeze acum pentru a securiza dispozitivele
Implementarea măsurilor de securitate a devenit mai esențială pentru cei care furnizează guvernului, chiar dacă peisajul IoT mai larg este uneori caracterizat drept Vestul Sălbatic, având în vedere lipsa de standarde de securitate riguroase și comune.
În ciuda acestui fapt, totuși, este extrem de important ca producătorii de dispozitive să implementeze măsuri de securitate cibernetică acum, a subliniat fondatorul și CEO-ul companiei de software de securitate IoT BG Networks, Colin Duggan. El a avertizat că dispozitivele IoT sunt ținte principale pentru activitățile rău intenționate.
Nu există absolut nicio îndoială că acum și în viitor criminalii și statele naționale adversare caută și expun punctele slabe ale dispozitivelor IoT care sunt conectate în rețea – la fel cum expun în prezent punctele slabe ale sistemelor IT, a spus el.
Duggan a sugerat că actorii rău intenționați testează în mod constant limitele țintelor lor. Recent Hack pentru camere de securitate Verkadas evidențiază faptul că acești actori nu au nevoie de intenții motivaționale clare în spatele lor, deoarece un presupus punct de vedere ideologic a determinat dorința de a pătrunde în dispozitive.
Institutul Național de Standarde și Tehnologie din SUA (NIST) a stabilit Cadrul de securitate cibernetică, dar nu este o abordare universală.
Constructorii și producătorii de dispozitive ar trebui să rețină că unele dispozitive trebuie să fie mai sigure decât altele – fie datele pe care le conțin sunt mai sensibile, fie încălcările pot cauza potențiale probleme de siguranță sau operaționale, deoarece multe dispozitive IoT controlează lucruri și acțiuni fizice, a spus Duggan.
Yaniv Nissenboim, vicepreședintele dezvoltării afacerilor la Vdoo, a spus lui Duggan, indicând că producătorii de dispozitive ar trebui să înceapă „să se adapteze la aceste linii directoare acum”, astfel încât să poată fi gata să acționeze și să le atenueze odată ce noile reglementări vor lua cu adevărat contur.
Impactul pe termen lung al Legii privind securitatea cibernetică IoT
Pe termen scurt, securitatea cibernetică a dispozitivelor IoT nu va mai fi considerată o idee ulterioară, piața privată având o lumină strălucitoare pe cer de urmat ca exemplu.
Impactul pe termen lung al actului, totuși, impune mai mult producătorilor de dispozitive să se gândească bine la implementările de securitate.
Brian Carpenter, director de dezvoltare a afacerilor la CyberArk, a subliniat că producătorii și constructorii de dispozitive ar trebui să ia în considerare modul în care aceste reglementări în așteptare vor fi aplicate și modul în care clienții pot gestiona și securiza conexiunile către și de la dispozitivele IoT.
„Clienții… nu doresc mai multe soluții de securitate care să gestioneze o parte din riscul lor – au nevoie de o imagine unică a riscurilor lor pentru a le gestiona corect”, a spus Carpenter.
Constructorii IoT care creează dispozitive cu măsuri sporite și eficiente, cum ar fi actualizări securizate de firmware, patch-uri și managementul identității, se vor putea integra în strategiile de reducere a riscurilor ale clienților lor și vor obține un avantaj competitiv, a spus el.
Constructorii și producătorii de dispozitive nu au fost în centrul acestei legislații – după ce politicienii bipartizani din SUA au făcut o multitudine de modificări de reglementare menite să împiedice națiunile necinstite să interfereze cu infrastructura tehnologică a țării. Deși această problemă a crescut de-a lungul timpului, cu mai multe acte legislative care urmăresc să reducă ravagiile cauzate de asemenea Rusia, China, Iran, și Coreea de Nord, această schimbare specială va ajuta cu siguranță constructorii pe termen lung.
Oferind linii directoare cu privire la ceea ce constituie o securitate puternică, producătorii vor trebui să răspundă în cele din urmă nevoilor clienților, cu liniile directoare ale NIST probabil să se transforme în legislație nouă, fie la nivel federal, fie la nivel statal, a sugerat Carpenter.
O definiție largă este o definiție bună
Duggan a spus că definiția legislației pentru dispozitivele IoT „este bună, deoarece dispozitivele cu interfețe de rețea pot adăuga vulnerabilități rețelei”.
Legea privind securitatea cibernetică IoT definiția a ceea ce constituie un dispozitiv IoT prevede: un dispozitiv trebuie să aibă cel puțin un traductor (senzor sau actuator) pentru interacțiunea directă cu lumea fizică, să aibă cel puțin o interfață de rețea.
Duggan a spus că aceasta înseamnă că legea oferă o rețea largă, fiind, de asemenea, clar că smartphone-urile sau laptopurile nu sunt incluse, deoarece „implementarea caracteristicilor de securitate cibernetică este deja bine înțeleasă”.
Cu toate acestea, limitarea la care a indicat se referea la lipsa unui mandat specific care să forțeze agențiile guvernamentale să adauge securitatea cibernetică dispozitivelor.
Duggan s-a referit la Comisia Economică pentru Europa a Națiunilor Unite (UNECE) WP.29 reglementări auto, care precizează că până în iulie 2024 toate vehiculele nou produse trebuie să includă securitatea cibernetică bazată pe o abordare de securitate prin proiectare și sunt capabili să efectueze actualizări de software.
El a descris că Legea privind securitatea cibernetică IoT nu este „la fel de puternică ca cerințele UNECE” și că, în ceea ce privește îmbunătățirea securității, a se potrivi cu ceea ce face UNECE ar fi un pas bun. „Această reglementare [UNECE] forțează schimbarea în industria auto să implementeze pe scară largă securitatea cibernetică necesară în mașini”, a adăugat el.
În ceea ce privește alte limitări impuse producătorilor și constructorilor de dispozitive, Nissenboim a reamintit că legea se aplică numai companiilor care vând dispozitive IoT guvernului federal. În ciuda acestui fapt, el a recunoscut însă că guvernele de stat și întreprinderile private vor încerca să adopte principiile și liniile directoare ale acesteia.
„În plus, există un număr tot mai mare de standarde și reglementări internaționale de securitate cibernetică IoT în curs de dezvoltare”, a spus el, adăugând că reglementările vor ajuta la forțarea unor niveluri de securitate mai ridicate asupra miliardelor de dispozitive conectate produse în fiecare an în diferite sectoare.
Probleme încă de rezolvat cu Legea privind securitatea cibernetică IoT
Deși reglementările au fost lăudate de observatori, rămân probleme pentru producătorii și constructorii de dispozitive – în special pentru cei care nu vând guvernului SUA.
Constructorii trebuie să se retragă pentru a evalua implicațiile de rulare ale actului. Deși legea nu îi obligă să implementeze evaluări de securitate pe dispozitive, dar pe măsură ce numărul atacurilor crește vertiginos, îndrumarea poate fi necesară pentru a devia încălcările.
Nissenboim a spus că astfel de analize și monitorizare vor trebui automatizate și gestionate atât de părțile interesate de securitatea produsului, cât și de inginerie, care vor trebui să preia aceste procese importante.
Carpenter de la CyberArk a avertizat că conexiunile la distanță la dispozitivele IoT oferă încă o provocare majoră în ceea ce privește actualizările firmware-ului, gestionarea acreditărilor și întreținerea.
Carpenter și-a exprimat speranța în a vedea unele legate de acele aspecte nereglementate în prezent în liniile directoare finale; „mai ales pe măsură ce forța de muncă continuă să prolifereze”, a adăugat el.
- Avantaj
- Urmarind
- Bunuri
- Automata
- auto
- industria de automobile
- bipartizan
- corp
- încălcări
- constructor
- afaceri
- masini
- Provoca
- cauzată
- CEO
- contesta
- Schimbare
- comision
- Comun
- comunitate
- Companii
- companie
- Congres
- Dispozitive conectate
- Conexiuni
- continuă
- criminali
- clienţii care
- Securitate cibernetică
- de date
- Dezvoltare
- Dispozitive
- Director
- Economic
- Eficace
- Inginerie
- Europa
- DESCRIERE
- federal
- Guvernul federal
- potrivi
- Concentra
- urma
- fondator
- viitor
- bine
- Guvern
- guvernele
- În creştere
- orientări
- Evidențiați
- Cum
- HTTPS
- Identitate
- gestionarea identității
- Impactul
- Inclusiv
- industrie
- Infrastructură
- scop
- Internațional
- Internet
- internetul Lucrurilor
- IoT
- Dispozitiv IoT
- dispozitive iot
- probleme de
- IT
- iulie
- laptop-uri
- Drept
- Legislație
- Nivel
- ușoară
- major
- administrare
- Piață
- bani
- Monitorizarea
- net
- reţea
- rețele
- Noua legislație
- numere
- oferi
- Opţiuni
- Altele
- Altele
- Patch-uri
- privat
- Produs
- Produs
- Programe
- Regulament
- regulament
- Cerinţe
- Risc
- Atenuarea riscului
- Siguranţă
- sectoare
- securitate
- Software de securitate
- Pantaloni scurți
- smartphone-uri
- So
- Software
- soluţii
- standarde
- Începe
- Stat
- Statele
- sisteme
- Tehnologia
- test
- Viitorul
- timp
- ne
- Guvernul SUA
- Unit
- Națiunile Unite
- actualizări
- Vehicule
- Vizualizare
- Vulnerabilitățile
- vulnerabilitate
- Vest
- OMS
- Forta de munca
- lume
- an