Bil

CybersÀkerhetsexperter hyllar ny IoT-lag

Bild: iStock/BeeBright

President Donald Trump undertecknade Internet of Things Cybersecurity Improvement Act i lag denna mĂ„nad, som kodifierar vad mĂ„nga cybersĂ€kerhetsexperter lĂ€nge har bett om – ökat sĂ€kerhetsskydd för de miljarder IoT-enheter som översvĂ€mmar hem och företag.

MÄste lÀsa IoT-tÀckning

Under de senaste Ären har en mÀngd föremÄl och hushÄllsapparater förvandlats till internetanslutna enheter, med vissa uppskattningar som förutspÄr att det kommer att finnas 41,6 miljarder IoT-enheter pÄ omrÄdet 2025 och över 1 biljon dollar spenderas pÄ dem 2023.

Detta lagförslag krĂ€ver att National Institute of Standards and Technology (NIST) och Office of Management and Budget (OMB) “vidtar specificerade Ă„tgĂ€rder för att öka cybersĂ€kerheten för Internet of Things (IoT)-enheter.

SER: 5 Internet of Things (IoT) innovationer (gratis PDF) (TechRepublic)

Explosionen och expansionen av IoT-enheter i vardagen har sammanfallit med en ökning av förödande attacker som utnyttjar deras osÀkerhet för att orsaka sÄ mycket skada som möjligt, framför allt med Mirai botnet-attackerna 2016.

Brad Ree, CTO för ioXt Alliance, arbetar med statliga organisationer, tillverkare och toppteknikföretag för att skapa universella sÀkerhetsstandarder för anslutna enheter över produktkategorier.

I en intervju kallade han lagen “en enorm milstolpe för branschen” och sa att det var viktigt att den offentliga och privata sektorn kunde gĂ„ samman och skapa en uppsĂ€ttning minimisĂ€kerhetskrav.

“Även om det hĂ€r lagförslaget Ă€r inriktat pĂ„ statliga inköp, förvĂ€ntar jag mig helt och hĂ„llet att nĂ€toperatörer, konsumentekosystem och Ă„terförsĂ€ljare följer liknande krav för konsumentprodukter”, sa han.

Andrea Carcano och Edgard Capdevielle, medgrundare och VD för IoT-cybersÀkerhetsföretaget Nozomi Networks, hyllade lagen som ett viktigt första steg för att sÀkerstÀlla att IoT-enhetstillverkare förbÀttrar sÀkerheten för sina produkter.

Företaget slÀppte nyligen en undersökning som fann att hackare under de första sex mÄnaderna i Är anvÀnde IoT-botnÀt och skiftande ransomware-taktik som sina valvapen för att rikta in sig pÄ IoT-enheter i operativa nÀtverk.

“Även om det hĂ„rda arbetet med att utveckla enhetsstandarder inte har slutförts, kommer NIST-medverkan hjĂ€lpa till att driva globalt antagande av IoT-enhetssĂ€kerhetsstandarder som vi tror kommer att gĂ„ lĂ„ngt mot att förbĂ€ttra den övergripande industriella och kritiska infrastruktursĂ€kerheten,” sa Capdevielle.

IoT-enhetssÀkerhetsförslaget krÀver att standarder och riktlinjer skapas för att hantera cybersÀkerhetsrisker: sÀker utveckling, identitetshantering, patchning, konfigurationshantering. Den uppmanar ocksÄ NIST att samarbeta med USA:s Department of Homeland Security, tillsammans med cybersÀkerhetsforskare och branschexperter frÄn den privata sektorn för att publicera riktlinjer för rapportering och ÄtgÀrdande av sÄrbarheter.

Chloé Messdaghi, VP för strategi för Point3 Security, sa att cybersÀkerhetsindustrin var exalterad över lagen eftersom den krÀvde standarder för alla statligt upphandlade IoT-enheter, vilket i huvudsak krÀver att alla nytillverkade IoT-enheter ska uppfylla cybersÀkerhetsstandarder.

Lagen tvingar ocksĂ„ statliga myndigheter som skaffar IoT-enheter för att driva program för avslöjande av sĂ„rbarhet – nĂ„got hon sa att CISA försökte beordra.

“Policyer för avslöjande av sĂ„rbarhet Ă€r ett viktigt verktyg för att stĂ€rka organisatorisk cybersĂ€kerhet.”

Vdoo Àr en plattform som anvÀnder AI för att upptÀcka och fixa sÄrbarheter i IoT-enheter, och dess vicepresident, Yaniv Nissenboim, sa att han förvÀntar sig att federala myndigheter snabbt antar den nya uppsÀttningen av NIST-riktlinjer och insisterar pÄ kompatibla produkter.

Han uttryckte ocksÄ hopp om att lagen skulle ha en trickle-down effekt och tvinga delstatsregeringar att följa efter. Detta skulle i sin tur tvinga IoT-enhetsindustrin att göra cybersÀkerhet till en prioritet.

“Företag som misslyckas med att visa efterlevnad kan vid nĂ„gon tidpunkt bli stĂ€ngda frĂ„n lukrativa mĂ„lmarknader för sina IoT-enheter. Vi förvĂ€ntar oss att liknande regleringar och standarder kommer att dyka upp utanför USA ocksĂ„, sĂ€ger Nissenboim.

Tidigare CIA Intelligence Officer och KnowBe4:s senior vice president för cyberoperationer Rosa Smothers noterade ocksÄ att lagen krÀver att Homeland Security reviderar sÀkerhetsrekommendationer för IoT-enheter upp till vart femte Är nÀr attackytan utvecklas.

“I min Ă„sikt Ă€r den största potentiella effekten av HR 1668 mandatet att statliga entreprenörer som utvecklar eller Ă€r leverantörer av IoT-enheter mĂ„ste implementera ett program för att rapportera sĂ„rbarheter och Ă„tgĂ€rdande; eftersom den federala regeringen Ă€r den största köparen av varor i USA, kan detta krav ha en fördelaktig ringeffekt i hela den privata sektorn, sĂ€ger Smothers.

LÄngvariga IoT-sÀkerhetsproblem

CybersÀkerhetsexperter har lÀnge klagat pÄ att tillverkarna av IoT-enheter inte gjorde tillrÀckligt, eller egentligen nÄgot, för att sÀkra enheter som teoretiskt skulle kunna ge angripare tillgÄng till ett helt nÀtverk.

Lou Morentin, vice vd för efterlevnad och riskhantering pÄ Cerberus Sentinel, sa att lite eller ingen tanke har Àgnats Ät enhetssÀkerhet och att tekniken som Àr inbÀddad i varje ny iteration av dessa enheter medfört nya sprÄng i funktionalitet och anvÀndarvÀnlighet men kom med en kostnad .

“Eftersom mĂ„nga av dessa IoT-enheter inte hade nĂ„gra sĂ€kerhetskontroller kunde de potentiellt komma Ă„t nĂ€tverk och data. MĂ„nga av dessa enheter hittade ocksĂ„ in i sĂ€kra miljöer som till exempel försvarsdepartementet och hĂ€lsovĂ„rd. De tekniska sprĂ„ngen kan ocksĂ„ fĂ„ leverantörer att överge enheter till förmĂ„n för den senaste och bĂ€sta versionen; detta lĂ€mnar mĂ„nga sĂ„rbara enheter i naturen. SĂ€ljare hade inga krav eller anledning att bygga in sĂ€kerhet; de sĂ„lde produkter”, sa Morentin.

“TyvĂ€rr gav detta en inkörsport för illvilliga aktörer att Ă€ventyra konsumenter och nu myndigheter och industrimiljöer för att exfiltrera data. Genom att krĂ€va att tillverkare krĂ€ver en viss nivĂ„ av sĂ€kerhet kan detta bidra till att Ă„tminstone sakta ner eller, i vissa fall, förhindra att konfidentiell data Ă€ventyras.”

Han förklarade att vissa stater, som Kalifornien, försöker krÀva att leverantörer börjar ha nÄgra grundlÀggande sÀkerhetsfunktioner i IoT-enheter. Men lagar pÄ nationell nivÄ kommer att tvinga tillverkare som vill ha en plats vid bordet att bygga in sÀkerhet i sina enheter.

Stefano De Blasi, hotforskare vid Digital Shadows, sa att ökningen av 5G utan tvekan skulle stimulera till en Ànnu större explosion av IoT-enheter. Men att ansluta dessa enheter till privata företagsnÀtverk utökar attackytor och potentiellt exponerar kÀnsliga data som medicinska journaler, personligt identifierbar information och arbetsplatsplaner.

“Ett av de största problemen med IoT-sĂ€kerhet för nĂ€rvarande Ă€r att rusningen till marknaden ofta avprioriterar sĂ€kerhetsĂ„tgĂ€rder som mĂ„ste byggas in i vĂ„ra enheter. Det hĂ€r problemet har gjort att mĂ„nga IoT-enheter har lĂ„gt hĂ€ngande frukter för kriminella som Ă€r intresserade av att stjĂ€la kĂ€nslig data och komma Ă„t utsatta nĂ€tverk”, sa han.

“Brottslingar kan utnyttja sĂ„rbara produkter genom att utnyttja sin datorkraft och orkestrera massiva IoT-botnĂ€tkampanjer för att störa trafiken pĂ„ riktade tjĂ€nster och sprida skadlig programvara. Denna handling visar inte bara medvetenhet om denna avgörande sĂ€kerhetsfrĂ„ga, utan den skapar ocksĂ„ ett viktigt prejudikat som kan – och bör – inspirera andra lĂ€nder och organisationer att följa efter.”

IoT-enheter Àr inte mindre kÀnsliga för sÀkerhetsbrister Àn traditionella webb- eller mobilapplikationer, sÀger Peter Monahan, chef för global lösningsarkitektur pÄ WhiteHat Security.

Majoriteten av IoT-applikationer Àr designade för att interagera med valfritt antal API:er, som ocksÄ kan vara lika kÀnsliga för sÀkerhetsbrister, men som ofta utvecklas och distribueras av externa tredje parter.

“Detta skapar en betydande utmaning nĂ€r det gĂ€ller att sammanfatta den övergripande sĂ€kerhetsstĂ€llningen för en viss enhet, beroende pĂ„ dess avsedda genomförande av den federala regeringen,” sade han.

Expansionen bortom statliga enheter?

Lagförslaget var inte utan kritiker. Vissa experter ifrÄgasatte varför handlingen var begrÀnsad till endast statligt Àgda eller kontrollerade enheter och inte hela branschen.

Terence Jackson, chef för informationssÀkerhet pÄ Thycotic, sa att Àven om IoT-enheter som anvÀnds i statliga nÀtverk Àr viktiga, skulle lagstiftning som föreskriver sÀkerheten för alla IoT-enheter ha gÄtt lÀngre för att tillhandahÄlla en mer heltÀckande strategi för IoT-enhetssÀkerhet.

“Detta kan faktiskt skapa ökad försĂ€ljning för företag eftersom de kan introducera IoT-enheter av “statlig” kvalitet som kommer att kosta mer. Det kommer att bli intressant att se om företag förbĂ€ttrar sĂ€kerheten för sina konsumentklassade produkter som ett resultat av denna standard, sĂ€ger Jackson.

MÄngfalden av möjligheter och prisnivÄer för IoT-enheter sÀtter nu press pÄ tillverkare att skynda ut enheter till marknaden, vilket leder till att företag ofta skÀr av, sÀrskilt med cybersÀkerhet, enligt Chris Hazelton, chef för sÀkerhetslösningar pÄ Lookout.

Det finns nu hundratals miljoner enheter ute i naturen som bara har enkla standardadministratörslösenord, förklarade han, vilket skapar en massiv attackyta för alla organisationer som distribuerar och förlitar sig pÄ dessa anslutna enheter, tillade han.

Hazelton noterade att NIST tidigare har infört riktlinjer för implementering av mobil sÀkerhet för smartphones och surfplattor som till och med har antagits brett, inklusive utanför regeringen som professionella idrottslag.

Förhoppningen, sa han, Àr att samma sak hÀnder för IoT-enheter nu nÀr lagen har antagits och undertecknats.

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK