Закон о безопасности Интернета вещей требует стандартов

Для многих групп разработчиков IoT безопасность остается предметом списка желаний, который не стоит затрат и усилий, необходимых для реализации в потребительском продукте. Потребители, похоже, не готовы доплачивать за расширенные функции кибербезопасности или избегать продуктов, в которых такие функции отсутствуют. Однако в рамках законодательной деятельности безопасность становится юридическим требованием для потребительских проектов Интернета вещей.

Выступая на саммите IoT Security Summit в IoT World Today, руководитель программы Национального института стандартов и технологий США (NIST) Катерина Мегас отметила, что законодательство, требующее, чтобы устройства IoT обеспечивали безопасность, уже в некоторых штатах и ​​добавляется к нему. также федеральный закон. В январе 2020 года, отмечает Megas, и Калифорния, и Орегон приняли законы, обязывающие производителей подключенных устройств в своих штатах оснащать свои устройства «разумными функциями безопасности». Кроме того, еще в нескольких штатах, в том числе в Иллинойсе, Массачусетсе, Нью-Йорке и Вирджинии, аналогичный закон находится на рассмотрении или на рассмотрении.

Компания Megas также отметила, что правительство США приступает к разработке законодательства, предусматривающего безопасность Интернета вещей. Например, в марте Палата представителей США представила Закон о повышении кибербезопасности Интернета вещей от 2020 года H.R.1668. Закон призывает к созданию «стандартов и руководящих принципов для федерального правительства по надлежащему использованию и управлению агентствами устройств Интернета вещей, принадлежащих или контролируемых агентством и связанных с информационными системами, принадлежащими или контролируемыми агентством, включая минимальную информационную безопасность. требования по управлению рисками кибербезопасности, связанными с такими устройствами ». Он прошел и Палату представителей, и Сенат и был подписан 4 декабря; стандарты и руководства должны быть опубликованы в течение 90 дней.

Сейчас начинают действовать законы, обязывающие реализовать функции безопасности на устройствах Интернета вещей.

Хотя H.R. 1668 применяется только к системам Интернета вещей, которые использует правительство США, он знаменует собой начало требований к кибербезопасности, которые в конечном итоге будут применяться в США как для промышленных, так и для потребительских систем. В 2019 году Конгресс учредил Комиссию по киберпространству-солярию для разработки стратегического подхода США к защите в киберпространстве. Первый отчет этой комиссии содержал более 80 рекомендаций, в том числе более 50 законодательных предложений, призванных помочь в реализации многоуровневой стратегии защиты комиссии. Многие из этих предложений не только затрагивают государственные системы, но и применимы к промышленным и потребительским системам.

Три конкретных предложения заслуживают пристального внимания команд разработчиков Интернета вещей. Один из них призывает США принять закон о безопасности Интернета вещей, предусматривающий «разумные меры безопасности» в соответствии с рекомендациями NIST, такими как NISTIR 8259 - Основные мероприятия по кибербезопасности для производителей устройств Интернета вещей. Другое предложение призывает к созданию национального органа по сертификации и маркировке кибербезопасности, который будет проверять соответствие устройств Интернета вещей требованиям. Кроме того, в этом предложении содержится призыв к этому органу расширить сферу своей деятельности за пределы федеральных и промышленных систем Интернета вещей и включить персональную и бытовую электронику.

Третье предложение, заслуживающее внимания, может преодолеть любые экономические возражения против реализации безопасности Интернета вещей в дизайне, которые могут остаться. Это предложение требует установления ответственности сборщиков готовой продукции. В случае реализации производители IoT-устройств для продажи будут нести ответственность за ущерб, если их устройства не смогут защитить от известных уязвимостей. Другими словами, безопасность Интернета вещей станет обязательной функцией, независимо от того, побуждает ли она потребителей тратить больше или нет. Риск невыполнения требований безопасности будет слишком высоким.

«Разумные меры безопасности», которые требует все это законодательство, пока еще не определены. В законах Калифорнии и Орегона, согласно Megas, определение «разумного» просто требует мер, которые соответствуют функциям устройства и информации, с которой оно работает, и направлены на предотвращение несанкционированного доступа, раскрытия, использования, модификации или уничтожения эта информация. Конкретные меры не определены.

И вряд ли они будут. Как отметил Мегас в презентации, руководящая философия NIST при рекомендациях мер кибербезопасности заключается в том, что один размер не подходит всем. Поэтому конкретные меры в этих законах не кодируются. Вместо этого усилия основаны на подходе, ориентированном на результат. В будущих законах, которые потребуют от проектирования Интернета вещей реализовать кибербезопасность, не будет уточняться, как это должно быть сделано. Это решение по-прежнему останется за командами разработчиков. Но потребность в безопасности IoT и функциональность ее реализации скоро перейдут от здравого смысла к юридическим требованиям.

>> Эта статья была первоначально опубликована на наш дочерний сайт EDN.