Bild: iStock/BeeBrightPresident Donald Trump undertecknade Internet of Things Cybersecurity Improvement Act i lag denna månad, som kodifierar vad många cybersäkerhetsexperter länge har bett om – ökat säkerhetsskydd för de miljarder IoT-enheter som översvämmar hem och företag.
Måste läsa IoT-täckning
Under de senaste åren har en mängd föremål och hushållsapparater förvandlats till internetanslutna enheter, med vissa uppskattningar som förutspår att det kommer att finnas 41,6 miljarder IoT-enheter på området 2025 och över 1 biljon dollar spenderas på dem 2023.
Detta lagförslag kräver att National Institute of Standards and Technology (NIST) och Office of Management and Budget (OMB) “vidtar specificerade åtgärder för att öka cybersäkerheten för Internet of Things (IoT)-enheter.
SER: 5 Internet of Things (IoT) innovationer (gratis PDF) (TechRepublic)
Explosionen och expansionen av IoT-enheter i vardagen har sammanfallit med en ökning av förödande attacker som utnyttjar deras osäkerhet för att orsaka så mycket skada som möjligt, framför allt med Mirai botnet-attackerna 2016.
Brad Ree, CTO för ioXt Alliance, arbetar med statliga organisationer, tillverkare och toppteknikföretag för att skapa universella säkerhetsstandarder för anslutna enheter över produktkategorier.
I en intervju kallade han lagen “en enorm milstolpe för branschen” och sa att det var viktigt att den offentliga och privata sektorn kunde gå samman och skapa en uppsättning minimisäkerhetskrav.
“Även om det här lagförslaget är inriktat på statliga inköp, förväntar jag mig helt och hållet att nätoperatörer, konsumentekosystem och återförsäljare följer liknande krav för konsumentprodukter”, sa han.
Andrea Carcano och Edgard Capdevielle, medgrundare och VD för IoT-cybersäkerhetsföretaget Nozomi Networks, hyllade lagen som ett viktigt första steg för att säkerställa att IoT-enhetstillverkare förbättrar säkerheten för sina produkter.
Företaget släppte nyligen en undersökning som fann att hackare under de första sex månaderna i år använde IoT-botnät och skiftande ransomware-taktik som sina valvapen för att rikta in sig på IoT-enheter i operativa nätverk.
“Även om det hårda arbetet med att utveckla enhetsstandarder inte har slutförts, kommer NIST-medverkan hjälpa till att driva globalt antagande av IoT-enhetssäkerhetsstandarder som vi tror kommer att gå långt mot att förbättra den övergripande industriella och kritiska infrastruktursäkerheten,” sa Capdevielle.
IoT-enhetssäkerhetsförslaget kräver att standarder och riktlinjer skapas för att hantera cybersäkerhetsrisker: säker utveckling, identitetshantering, patchning, konfigurationshantering. Den uppmanar också NIST att samarbeta med USA:s Department of Homeland Security, tillsammans med cybersäkerhetsforskare och branschexperter från den privata sektorn för att publicera riktlinjer för rapportering och åtgärdande av sårbarheter.
Chloé Messdaghi, VP för strategi för Point3 Security, sa att cybersäkerhetsindustrin var exalterad över lagen eftersom den krävde standarder för alla statligt upphandlade IoT-enheter, vilket i huvudsak kräver att alla nytillverkade IoT-enheter ska uppfylla cybersäkerhetsstandarder.
Lagen tvingar också statliga myndigheter som skaffar IoT-enheter för att driva program för avslöjande av sårbarhet – något hon sa att CISA försökte beordra.
“Policyer för avslöjande av sårbarhet är ett viktigt verktyg för att stärka organisatorisk cybersäkerhet.”
Vdoo är en plattform som använder AI för att upptäcka och fixa sårbarheter i IoT-enheter, och dess vicepresident, Yaniv Nissenboim, sa att han förväntar sig att federala myndigheter snabbt antar den nya uppsättningen av NIST-riktlinjer och insisterar på kompatibla produkter.
Han uttryckte också hopp om att lagen skulle ha en trickle-down effekt och tvinga delstatsregeringar att följa efter. Detta skulle i sin tur tvinga IoT-enhetsindustrin att göra cybersäkerhet till en prioritet.
“Företag som misslyckas med att visa efterlevnad kan vid någon tidpunkt bli stängda från lukrativa målmarknader för sina IoT-enheter. Vi förväntar oss att liknande regleringar och standarder kommer att dyka upp utanför USA också, säger Nissenboim.
Tidigare CIA Intelligence Officer och KnowBe4:s senior vice president för cyberoperationer Rosa Smothers noterade också att lagen kräver att Homeland Security reviderar säkerhetsrekommendationer för IoT-enheter upp till vart femte år när attackytan utvecklas.
“I min åsikt är den största potentiella effekten av HR 1668 mandatet att statliga entreprenörer som utvecklar eller är leverantörer av IoT-enheter måste implementera ett program för att rapportera sårbarheter och åtgärdande; eftersom den federala regeringen är den största köparen av varor i USA, kan detta krav ha en fördelaktig ringeffekt i hela den privata sektorn, säger Smothers.
Långvariga IoT-säkerhetsproblem
Cybersäkerhetsexperter har länge klagat på att tillverkarna av IoT-enheter inte gjorde tillräckligt, eller egentligen något, för att säkra enheter som teoretiskt skulle kunna ge angripare tillgång till ett helt nätverk.
Lou Morentin, vice vd för efterlevnad och riskhantering på Cerberus Sentinel, sa att lite eller ingen tanke har ägnats åt enhetssäkerhet och att tekniken som är inbäddad i varje ny iteration av dessa enheter medfört nya språng i funktionalitet och användarvänlighet men kom med en kostnad .
“Eftersom många av dessa IoT-enheter inte hade några säkerhetskontroller kunde de potentiellt komma åt nätverk och data. Många av dessa enheter hittade också in i säkra miljöer som till exempel försvarsdepartementet och hälsovård. De tekniska sprången kan också få leverantörer att överge enheter till förmån för den senaste och bästa versionen; detta lämnar många sårbara enheter i naturen. Säljare hade inga krav eller anledning att bygga in säkerhet; de sålde produkter”, sa Morentin.
“Tyvärr gav detta en inkörsport för illvilliga aktörer att äventyra konsumenter och nu myndigheter och industrimiljöer för att exfiltrera data. Genom att kräva att tillverkare kräver en viss nivå av säkerhet kan detta bidra till att åtminstone sakta ner eller, i vissa fall, förhindra att konfidentiell data äventyras.”
Han förklarade att vissa stater, som Kalifornien, försöker kräva att leverantörer börjar ha några grundläggande säkerhetsfunktioner i IoT-enheter. Men lagar på nationell nivå kommer att tvinga tillverkare som vill ha en plats vid bordet att bygga in säkerhet i sina enheter.
Stefano De Blasi, hotforskare vid Digital Shadows, sa att ökningen av 5G utan tvekan skulle stimulera till en ännu större explosion av IoT-enheter. Men att ansluta dessa enheter till privata företagsnätverk utökar attackytor och potentiellt exponerar känsliga data som medicinska journaler, personligt identifierbar information och arbetsplatsplaner.
“Ett av de största problemen med IoT-säkerhet för närvarande är att rusningen till marknaden ofta avprioriterar säkerhetsåtgärder som måste byggas in i våra enheter. Det här problemet har gjort att många IoT-enheter har lågt hängande frukter för kriminella som är intresserade av att stjäla känslig data och komma åt utsatta nätverk”, sa han.
“Brottslingar kan utnyttja sårbara produkter genom att utnyttja sin datorkraft och orkestrera massiva IoT-botnätkampanjer för att störa trafiken på riktade tjänster och sprida skadlig programvara. Denna handling visar inte bara medvetenhet om denna avgörande säkerhetsfråga, utan den skapar också ett viktigt prejudikat som kan – och bör – inspirera andra länder och organisationer att följa efter.”
IoT-enheter är inte mindre känsliga för säkerhetsbrister än traditionella webb- eller mobilapplikationer, säger Peter Monahan, chef för global lösningsarkitektur på WhiteHat Security.
Majoriteten av IoT-applikationer är designade för att interagera med valfritt antal API:er, som också kan vara lika känsliga för säkerhetsbrister, men som ofta utvecklas och distribueras av externa tredje parter.
“Detta skapar en betydande utmaning när det gäller att sammanfatta den övergripande säkerhetsställningen för en viss enhet, beroende på dess avsedda genomförande av den federala regeringen,” sade han.
Expansionen bortom statliga enheter?
Lagförslaget var inte utan kritiker. Vissa experter ifrågasatte varför handlingen var begränsad till endast statligt ägda eller kontrollerade enheter och inte hela branschen.
Terence Jackson, chef för informationssäkerhet på Thycotic, sa att även om IoT-enheter som används i statliga nätverk är viktiga, skulle lagstiftning som föreskriver säkerheten för alla IoT-enheter ha gått längre för att tillhandahålla en mer heltäckande strategi för IoT-enhetssäkerhet.
“Detta kan faktiskt skapa ökad försäljning för företag eftersom de kan introducera IoT-enheter av “statlig” kvalitet som kommer att kosta mer. Det kommer att bli intressant att se om företag förbättrar säkerheten för sina konsumentklassade produkter som ett resultat av denna standard, säger Jackson.
Mångfalden av möjligheter och prisnivåer för IoT-enheter sätter nu press på tillverkare att skynda ut enheter till marknaden, vilket leder till att företag ofta skär av, särskilt med cybersäkerhet, enligt Chris Hazelton, chef för säkerhetslösningar på Lookout.
Det finns nu hundratals miljoner enheter ute i naturen som bara har enkla standardadministratörslösenord, förklarade han, vilket skapar en massiv attackyta för alla organisationer som distribuerar och förlitar sig på dessa anslutna enheter, tillade han.
Hazelton noterade att NIST tidigare har infört riktlinjer för implementering av mobil säkerhet för smartphones och surfplattor som till och med har antagits brett, inklusive utanför regeringen som professionella idrottslag.
Förhoppningen, sa han, är att samma sak händer för IoT-enheter nu när lagen har antagits och undertecknats.
