IoT سائبرسیکیوریٹی ایکٹ ڈیوائس بنانے والوں پر سیکیورٹی کا بوجھ ڈالتا ہے۔

IoT سائبرسیکیوریٹی ایکٹ IoT پیشہ ور افراد کے لیے آلات پر مزید حفاظتی خصوصیات کو نافذ کرنے کے لیے ایک اچھی شروعات ہے۔ تاہم، فعال اقدامات کے ذریعے اثاثوں کو محفوظ بنانا، بشمول خطرے کی تشخیص اور انکشاف کے پروگرام ایسے اختیارات ہیں جو برے اداکاروں کے خلاف جنگ میں وسیع تر بلڈر کمیونٹی کی حمایت کر سکتے ہیں۔

دسمبر 2020 میں قانون میں دستخط کیے گئے۔ دو طرفہ قانون سازی سرکاری رقم سے خریدے گئے کسی بھی انٹرنیٹ آف تھنگز (IoT) ڈیوائس کو مجبور کرتا ہے۔ کم سے کم حفاظتی معیارات کو پورا کریں۔.

اگرچہ قانون کا مطلب ہے کہ حکومتیں زیادہ محفوظ IoT آلات کی توقع کر سکتی ہیں، لیکن یہ ذمہ داری بلڈرز اور ڈیوائس بنانے والوں پر ہے کہ وہ ڈیوائس کی حفاظت کو تقویت دیں۔

بلڈرز کو آلات کو محفوظ بنانے کے لیے ابھی عمل کرنے کی ضرورت ہے۔

حکومت کو سپلائی کرنے والوں کے لیے حفاظتی اقدامات کو نافذ کرنا زیادہ ضروری ہو گیا ہے، حالانکہ IoT کے وسیع منظرنامے کو بعض اوقات وائلڈ ویسٹ کے طور پر نمایاں کیا جاتا ہے کیونکہ اس کے سخت، مشترکہ حفاظتی معیارات کی کمی ہے۔

اس کے باوجود، تاہم، یہ انتہائی اہم ہے کہ ڈیوائس بنانے والے اب سائبر سیکیورٹی کے اقدامات کو نافذ کریں، IoT سیکیورٹی سافٹ ویئر کمپنی BG نیٹ ورکس کے بانی اور سی ای او کولن ڈگن نے زور دیا۔ انہوں نے متنبہ کیا کہ IoT ڈیوائسز بدنیتی پر مبنی سرگرمیوں کا بنیادی ہدف ہیں۔

اس میں کوئی شک نہیں کہ اب اور مستقبل میں جرائم پیشہ اور مخالف قوم کی ریاستیں نیٹ ورک سے منسلک IoT آلات میں کمزوریوں کو تلاش کر رہی ہیں اور ان کو بے نقاب کر رہی ہیں - جس طرح وہ فی الحال آئی ٹی سسٹمز میں کمزوریوں کو بے نقاب کر رہی ہیں، انہوں نے کہا۔

ڈوگن نے مشورہ دیا کہ بدنیتی پر مبنی اداکار مسلسل اپنے اہداف کی حدود کو جانچتے رہیں .حالیہ ورکاڈا سیکیورٹی کیمرہ ہیکs اس بات کو نمایاں کریں کہ ان اداکاروں کو ان کے پیچھے واضح مقصد کی ضرورت نہیں ہے، کیونکہ ایک مبینہ نظریاتی نقطہ نظر نے آلات کو گھسنے کی خواہش کو جنم دیا۔

یو ایس نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (این آئی ایس ٹی) نے اس کا تعین کیا ہے۔ سائبرسیکیوریٹی فریم ورک، لیکن یہ ایک سائز نہیں ہے جو تمام انداز میں فٹ بیٹھتا ہے۔

ڈوگن نے کہا کہ بلڈرز اور ڈیوائس بنانے والوں کو نوٹ کرنا چاہیے کہ کچھ ڈیوائسز کو دوسروں کے مقابلے میں زیادہ محفوظ ہونے کی ضرورت ہے - یا تو ان میں موجود ڈیٹا زیادہ حساس ہے یا خلاف ورزیاں ممکنہ حفاظت یا آپریشنل مسائل کا سبب بن سکتی ہیں کیونکہ بہت سے IoT ڈیوائسز جسمانی چیزوں اور اعمال کو کنٹرول کرتی ہیں۔

Vdo میں کاروباری ترقی کے VP Yaniv Nissenboim، Duggan کی بازگشت کرتے ہوئے اشارہ کرتے ہیں کہ ڈیوائس بنانے والوں کو "ابھی ان رہنما خطوط کی نقشہ سازی" شروع کرنی چاہیے تاکہ جب نئے ضوابط واقعی شکل اختیار کر لیں تو وہ ان پر عمل کرنے اور ان میں تخفیف کرنے کے لیے تیار ہو جائیں۔

IoT سائبرسیکیوریٹی ایکٹ کا طویل مدتی اثر

مختصر مدت میں، IoT ڈیوائس سائبرسیکیوریٹی کو بعد میں سوچا نہیں جائے گا، جس کی مثال کے طور پر پیروی کرنے کے لیے پرائیویٹ مارکیٹ کو آسمان میں چمکتی ہوئی روشنی دی گئی ہے۔

تاہم، ایکٹ کا طویل مدتی اثر، ڈیوائس بنانے والوں پر سیکیورٹی کے نفاذ کے بارے میں سخت سوچنے کی زیادہ ذمہ داری ڈالتا ہے۔

سائبر آرک میں بزنس ڈویلپمنٹ کے ڈائریکٹر برائن کارپینٹر نے اس بات پر زور دیا کہ ڈیوائس مینوفیکچررز اور بلڈرز کو اس بات پر غور کرنا چاہیے کہ ان زیر التواء ضابطوں کو کس طرح نافذ کیا جائے گا اور کس طرح صارفین IoT ڈیوائسز سے اور ان سے کنکشن کا انتظام اور محفوظ کر سکتے ہیں۔

کارپینٹر نے کہا، "صارفین … مزید خاموش حفاظتی حل نہیں چاہتے جو ان کے خطرے کے ایک حصے کا انتظام کرتے ہیں - انہیں اپنے خطرات کا صحیح طریقے سے انتظام کرنے کے لیے ایک نقطہ نظر کی ضرورت ہوتی ہے،" کارپینٹر نے کہا۔

انہوں نے کہا کہ IoT بلڈرز جو کہ بڑھے ہوئے اور موثر اقدامات کے ساتھ ڈیوائسز بناتے ہیں، جیسے کہ محفوظ فرم ویئر اپ ڈیٹس، پیچ، اور شناختی انتظام، اپنے گاہک کے خطرے کو کم کرنے کی حکمت عملیوں میں فٹ ہونے اور مسابقتی فائدہ حاصل کرنے کے قابل ہوں گے۔

بلڈرز اور ڈیوائس بنانے والے اس قانون سازی کا مرکز نہیں تھے - دو طرفہ امریکی سیاست دانوں کی طرف سے ریگولیٹری تبدیلیوں کی بہتات کے بعد جس کا مقصد بدمعاش ممالک کو ملک کے تکنیکی بنیادی ڈھانچے میں مداخلت کرنے سے روکنا تھا۔ جب کہ یہ مسئلہ وقت کے ساتھ ساتھ بڑھتا گیا ہے، قانون سازی کے متعدد ٹکڑوں کے ساتھ جس کا مقصد پسند کی وجہ سے ہونے والی تباہی کو روکنا ہے۔ روس, چین, ایران، اور شمالی کوریا، یہ خاص تبدیلی یقینی طور پر طویل مدتی میں معماروں کی مدد کرے گی۔

کارپینٹر نے مشورہ دیا کہ مضبوط سیکورٹی کی تشکیل کے بارے میں رہنما خطوط فراہم کرنے سے، مینوفیکچررز کو بالآخر کسٹمر کی ضروریات کو پورا کرنے کی ضرورت ہوگی، NIST کے رہنما خطوط وفاقی یا ریاستی سطح پر، نئی قانون سازی میں تبدیل ہونے کا امکان ہے۔

ایک وسیع تعریف ایک اچھی تعریف ہے۔

ڈوگن نے کہا کہ IoT آلات کے لیے قانون سازی کی تعریف "اچھی ہے کیونکہ نیٹ ورک انٹرفیس والے آلات ممکنہ طور پر نیٹ ورک میں کمزوریاں ڈال سکتے ہیں"۔

IoT سائبرسیکیوریٹی ایکٹ IoT ڈیوائس کی تشکیل کی تعریف بیان کرتا ہے: ایک ڈیوائس کے پاس "کم از کم ایک ٹرانسڈیوسر (سینسر یا ایکچوایٹر) ہونا چاہیے تاکہ جسمانی دنیا کے ساتھ براہ راست تعامل ہو، کم از کم ایک نیٹ ورک انٹرفیس ہو۔"

ڈوگن نے کہا کہ اس کا مطلب یہ ہے کہ قانون ایک وسیع جال ڈالتا ہے جبکہ یہ بھی واضح ہے کہ اسمارٹ فونز یا لیپ ٹاپ شامل نہیں ہیں کیونکہ 'سائبر سیکیورٹی کی خصوصیات کا نفاذ پہلے سے ہی اچھی طرح سے سمجھا جاتا ہے۔'

تاہم اس نے جس حد کی طرف اشارہ کیا وہ ایک مخصوص مینڈیٹ کی کمی سے متعلق ہے جو سرکاری ایجنسیوں کو آلات میں سائبر سیکیورٹی شامل کرنے پر مجبور کرے گا۔

ڈوگن نے اقوام متحدہ کے اقتصادی کمیشن برائے یورپ (یو این ای سی ای) کا حوالہ دیا WP.29 آٹوموٹو کے ضوابطجس میں کہا گیا ہے کہ جولائی 2024 تک تمام نئی تیار شدہ گاڑیاں سیکیورٹی کے لحاظ سے ڈیزائن کے نقطہ نظر پر مبنی سائبر سیکیورٹی کو شامل کرنا ضروری ہے۔ اور سافٹ ویئر اپ ڈیٹ کرنے کے قابل ہیں۔

انہوں نے IoT سائبرسیکیوریٹی ایکٹ کو "اتنا مضبوط نہیں جتنا UNECE کے تقاضوں کے طور پر بیان کیا،" اور یہ کہ سیکورٹی کو بہتر بنانے کے معاملے میں، UNECE جو کچھ کر رہا ہے اس سے مماثل ہونا ایک اچھا قدم ہوگا۔ انہوں نے مزید کہا کہ "وہ [یو این ای سی ای] ضابطہ کاروں میں ضروری سائبر سیکیورٹی کو وسیع پیمانے پر لاگو کرنے کے لیے آٹوموٹیو انڈسٹری میں تبدیلی کو مجبور کر رہا ہے۔"

ڈیوائس بنانے والوں اور بلڈرز پر رکھی گئی دیگر حدود کے لحاظ سے، Nissenboim نے یاد دلایا کہ قانون صرف وفاقی حکومت کو IoT ڈیوائسز فروخت کرنے والی کمپنیوں پر لاگو ہوتا ہے۔ اس کے باوجود، تاہم، انہوں نے اعتراف کیا کہ ریاستی حکومتیں اور نجی ادارے بھی اس کے اصولوں اور رہنما اصولوں کو اپنانے کی کوشش کریں گے۔

"اس کے علاوہ، بین الاقوامی IoT سائبرسیکیوریٹی معیارات اور ضوابط کا ایک بڑھتا ہوا ادارہ ترقی کے تحت ہے،" انہوں نے کہا، انہوں نے مزید کہا کہ یہ ضوابط مختلف شعبوں میں ہر سال تیار کیے جانے والے اربوں کنیکٹڈ ڈیوائسز پر اعلیٰ سیکورٹی کی سطح کو مجبور کرنے میں مدد کریں گے۔

IoT سائبرسیکیوریٹی ایکٹ کے ساتھ جن مسائل کو ابھی حل کرنا ہے۔

اگرچہ مبصرین کی طرف سے قواعد و ضوابط کی تعریف کی گئی ہے، لیکن آلات بنانے والوں اور بنانے والوں کے لیے مسائل باقی ہیں – خاص طور پر وہ لوگ جو امریکی حکومت کو فروخت نہیں کرتے ہیں۔

بلڈرز کو ایکٹ کے رولنگ مضمرات کا جائزہ لینے کے لیے پیچھے ہٹنے کی ضرورت ہے۔ اگرچہ قانون انہیں آلات پر حفاظتی جائزوں پر عمل درآمد کرنے پر مجبور نہیں کر رہا ہے، لیکن جیسے جیسے حملے کی تعداد آسمان کو چھو رہی ہے، اس لیے خلاف ورزیوں کو روکنے کے لیے رہنمائی کی ضرورت پڑ سکتی ہے۔

Nissenboim نے کہا کہ اس طرح کے تجزیوں اور نگرانی کو پروڈکٹ سیکیورٹی اور انجینئرنگ اسٹیک ہولڈرز دونوں کے ذریعہ خودکار اور منظم ہونا پڑے گا جنہیں ان اہم عمل کو انجام دینا ہوگا۔

سائبر آرک کے کارپینٹر نے متنبہ کیا کہ آئی او ٹی ڈیوائسز کے ریموٹ کنکشن اب بھی فرم ویئر اپ ڈیٹس، اسناد کے انتظام اور دیکھ بھال کے لحاظ سے ایک بڑا چیلنج پیش کرتے ہیں۔

کارپینٹر نے حتمی رہنما خطوط میں ان غیر منظم مسائل سے متعلق کچھ دیکھنے کی امید ظاہر کی۔ انہوں نے مزید کہا کہ "خاص طور پر جب افرادی قوت میں اضافہ ہوتا جا رہا ہے۔"