Достаточно ли охватывают последние правила безопасности Интернета вещей?

Во всем мире произошла волна регулирования, поскольку правительства стремятся решить проблему безопасности Интернета вещей. Это позитивный шаг, указывающий на то, что рынок становится более зрелым, но регулирование пространства Интернета вещей сопряжено с определенными проблемами. Такие шаги неизбежно встречали сопротивление со стороны тех, кто предполагал, что это может создать горы отходов Интернета вещей, и других, которые утверждали, что это может помешать инновациям.

Следовательно, каждый законодательный акт немного отличается. Но то, как эти правила повлияют на дальнейшее развитие регулирования, поэтому важно учитывать принимаемые меры, где они лучше, а где нет, говорит Кен Манро, партнер Pen Test Partners .

1. Закон о совершенствовании кибербезопасности Интернета вещей 2017 г. (США): Направленный на контроль над Интернетом вещей в правительстве США, Закон о повышении уровня кибербезопасности Интернета вещей может иметь серьезные последствия для развития Интернета вещей. Устройства не должны иметь известных недостатков безопасности в базе данных NIST, должны поддерживать обновления, должны использовать фиксированные или жестко закодированные учетные данные для удаленного администратора, обновления и связи, а уязвимости должны быть обнаружены и устранены. Однако ограничение недостатков NIST может привести к тому, что общие проблемы, не перечисленные в списке, такие как SQL-инъекция в клиентских приложениях, будут упущены. Он также не признает, что многие протоколы RF разработаны так, чтобы вообще не использовать учетные данные, поэтому эти устройства должны быть списаны или обновлены для поддержки более жесткого беспроводного протокола. Закон еще не принят, и другие, о которых идет речь, включают Закон об интеллектуальном IoT, Закон DIGIT, Закон о безопасности IoT, Закон о киберщите и Закон о потребительских советах Интернета вещей.
2. Закон о кибербезопасности (ЕС): С мая 2018 года в соответствии с законодательством Агентство Европейского Союза по сетевой и информационной безопасности (ENISA) станет агентством по кибербезопасности и системой сертификации, созданной для сертификации подключенных автомобилей и интеллектуальных продуктов во всех странах-членах ЕС. Закон о кибербезопасности будет применяться только для критически важной национальной инфраструктуры. Производители могут потребовать, чтобы их устройства Интернета вещей были классифицированы по схеме сертификации как «базовые», «существенные» или «высокие», но эта система является добровольной. Стремясь соблазнить их, те, кто переходит на «базовый» уровень, могут «сами проводить испытания на соответствие». В документации указано, что ENISA будет иметь право «выдавать предупреждения, нацеленные на поставщиков и производителей для повышения безопасности», но не упоминается, как это будет выполняться. Он предусматривает подачу жалоб, позволяя лоббистам и исследователям в области безопасности сообщать о нарушениях и ответственно раскрывать информацию по всему профсоюзу.
3. SB-327 (США): Принятие закона SB-327, принятого в августе 2018 года, делает Калифорнию первым штатом США, регулирующим интеллектуальные технологии. Он устанавливает некоторые базовые стандарты безопасности для потребительских устройств и вступает в силу с января 2020 года. Однако формулировка расплывчатая, относящаяся к «надлежащей» безопасности, которая «предназначена для защиты». Большинство устройств могут утверждать, что предназначались для защиты устройства / данных, тем самым обходя требования. Это делает уникальные пароли обязательными, но не решает вопрос о том, есть ли на устройстве хороший источник энтропии. Ритейлерам также не повезло, что может привести к тому, что рынки будут забиты несоответствующими технологиями до 2020 года. Нет заявленных требований к этим устройствам для поддержки обновлений.
4. Свод правил безопасности потребительского Интернета вещей (Великобритания): На основе проекта предложения Secure by Design, представленного в марте, CoP, выпущенный Управлением по цифровым технологиям, культуре, средствам массовой информации и спорту (DCMS), теперь включает Общие правила защиты данных (GDPR). Несмотря на широкий охват, предоставляющий руководящие принципы для производителей, разработчиков мобильных приложений, поставщиков услуг и розничных продавцов, он является добровольным. CoP заявляет, что пароли по умолчанию не должны использоваться, учетные данные и конфиденциальные данные должны храниться в надежном месте, а программное обеспечение должно обновляться. Однако, хотя он рекомендует использовать политику раскрытия уязвимостей, он не требует от поставщиков выпуска исправления. Тем не менее, это очень позитивный шаг вперед с точки зрения безопасности потребительского Интернета вещей.

Ясно одно:власти выступают за мягкий, мягкий подход, в связи с чем возникает вопрос:будут ли эти стандарты соблюдаться добровольно? Поставщики Интернета вещей находятся под сильным давлением, чтобы вывести свои продукты на рынок. Чтобы они приняли любую форму регулирования за свою спину, для них потребовалось бы существенное преимущество ... или последствия.

Именно здесь сам рынок может оказать большее давление. Предоставьте потребителям право возвращать уязвимые умные товары в кредит, закрепив это в законодательстве о торговых стандартах. Поощряйте сектор розничной торговли отказаться от хранения уязвимых устройств. Тогда у производителей появится больше стимулов сдаться, подписаться на схемы классификации и подвергнуть свои устройства испытаниям.

Пока еще рано говорить, насколько эффективным будет саморегулирование. Нам нужно ослабить законодательство и дать отрасли возможность адаптироваться к тому, что может стать решающим моментом для Интернета вещей. Только тогда мы сможем оценить, где нам нужно применить более строгие меры наказания.

Автор этого блога - Кен Манро, партнер Pen Test Partners. Он регулярно информирует правительственные ведомства Великобритании и США, а также участвует в различные советы потребителей ЕС по регулированию Интернета вещей.