Is jy gereed vir die Verenigde Koninkryk se nuwe IoT-sekuriteitswet?
INHOUDSOPGAWE:
Die Britse mark vir gekoppelde tegnologieë is al jare lank oorstroom met onseker kits. Dit is slegte nuus vir verbruikers en besighede, aangesien gekompromitteerde toestelle gebruik kan word om aanvalle teen albei te loods, terwyl markvertroue in nuwe tegnologie ondermyn word. Met die gemiddelde Brit wat nou toegang het meer as nege gekoppelde toestelle, het die regering laat wetgewing ingestel om basislynsekuriteitstandaarde te verbeter. Dit het in Desember 2023 in werking getree.
Alhoewel dit nie perfek is nie, is die Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI) 2022 beloof om die begin te wees van 'n strenger voldoeningsregime vir vervaardigers, verspreiders en invoerders van slim produkte.
Waarom het ons die PSTI-wet nodig?
IoT-risiko het nie begin nie met Mirai, maar dit was die eerste groot bedreiging om die kwesbaarhede wat inherent is aan gekoppelde tegnologieë bloot te lê. Bedreigingsakteurs het die gelyknamige wanware gebruik om te ondersoek na gekoppelde IoT-toestelle wat steeds die verstek gebruikersnaam en wagwoord gebruik waarmee hulle die fabriek verlaat het. Dit sal dan by hulle aanmeld om die eindpunte op afstand te kaap om 'n botnet vir DDoS, klikbedrog, strooiposveldtogte en ander bedreigings te bou.
Nog 'n algemene probleem in beide korporatiewe en verbruikers-graad IoT kits is kwesbaarhede in die firmware self, wat uitgebuit kan word deur bedreiging akteurs. 'n Onlangse studie deur die IoT Security Foundation (IoTSF) bevind dat net 27% van 332 beoordeelde IoT-vervaardigers bedryf selfs programme vir die openbaarmaking van kwesbaarheid. Geaffekteerde produkte kan wissel van netwerkrouters tot mediese toestelle en DVR's tot babamonitors.
Wat staan in die PSTI-wet?
Dit is waar die PSTI-wet inkom. Dit is eintlik twee stukke wetgewing in een, maar dit is die eerste helfte, oor “produksekuriteit”, waarin ons belangstel. Die doel is eenvoudig: om verbruikersgraad IoT te maak kits wat in die Verenigde Koninkryk verkoop word, is standaard veiliger. Dit vereis dat vervaardigers, verspreiders en invoerders streng reëls oor IoT-produkte volg. Die insluiting van laasgenoemde twee entiteite is bedoel om te verseker dat organisasies nie bloot die reëls kan omseil deur onseker produkte van buite die land in te voer nie.
So wat vereis dit? Voortbou op die ETSI EN 303 645 (5.1 tot 5.3) standaard en, vir sekuriteitsverslaggewing, ISO/IEC 29147, is daar drie sleutelelemente:
Wagwoorde:
Moet uniek wees vir elke produk of deur die gebruiker gedefinieer wees. Fabrieksbepaalde wagwoorde moet nie maklik wees om te raai of op te noem nie.
Kwesbaarheid openbaarmaking:
Daar moet ten minste een kontakpunt in die vervaardiger/verspreider/invoerder wees, en wanneer hulle 'n sekuriteitsverslag ontvang, moet hulle dit erken en opdaterings stuur totdat 'n oplossing bereik is.
Minimum sekuriteitopdateringstydperk:
Inligting moet oor die opdateringstydperk gepubliseer word. Daar is geen vermelde minimum nie, net dat dit gepubliseer moet word. Dit sê ook dat die tydperk nie verkort kan word nie, maar dit kan verleng word.
John Moor, besturende direkteur van IoTSF, sê aan ISMS.online dat hierdie vereistes deels tegnies en deels prosesgebaseer is.
“Vervaardigers sal produkte moet ontwerp wat unieke en sterk wagwoorde 'buite die boks' het, en gebruikers behoort dit te kan verander. Dit het duidelike implikasies vir hoe produkte ontwerp word. Die tweede vereiste is 'n poging om te verseker dat sekuriteit gehandhaaf word - dat bekende kwesbaarhede in die veld reggestel kan word of, in uiterste situasies, herroep kan word. Dit beteken dat alle maatskappye 'n proses moet hê waarvolgens 'navorsers' of leke die verskaffer kan kontak en sekuriteitskwessies kan rapporteer,” voeg hy by.
“Die derde vereiste is daar om die verbruiker in te lig oor wat verwag kan word in terme van sekuriteitsinstandhouding – dit het ook 'n implikasie vir die ontwerpfase – hoe sal sekuriteitsopdaterings geaktiveer word? Wat is die proses vir massa-opdaterings?”
Organisasies wat die wet oortree, kan beboet word met tot £10 miljoen of 4% van hul wêreldwye jaarlikse inkomste, wat ook al die hoogste is. Die PSTI-wet gee ook die staatsekretaris die mag om stop- en herroepkennisgewings uit te reik.
Hoe stem dit ooreen met die Europese regime?
Die ekwivalente regime in die EU is die Wet op kuberveerkragtigheid (CRA), wat steeds deur die blok se wetgewende instellings werk. Dit blyk 'n hoër balk te stel wat IoT-sekuriteit betref, word verpligte IoT-produkte vervaardig met 'n veilige-by-verstek-konfigurasie, sonder ontginbare kwesbaarhede, en beskik oor toepaslike verifikasiemeganismes sowel as data-enkripsie, indien relevant. Risiko- en ooreenstemmingsbeoordelings sal ook vereis word terwyl hulle nie in die VK is nie.
Vir daardie organisasies wat in die VK en die EU werksaam is, behoort nakoming nie moeilik te wees solank hulle by die strenger EU-regime hou nie.
“Gelukkig was daar voortdurende dialoog met Britse owerhede en hul onderskeie eweknieë in die EU. Volgens ons beste wete sal maatskappye VK en EU-vereistes kan belyn sonder noemenswaardige bokoste,” sê Moor.
“Skedule 4 sit die minimum hoeveelheid inligting uiteen wat in 'n verklaring van voldoening vermeld moet word. Vervaardigers sal 'n minimum hoeveelheid inligting op hul verklaring van voldoening en 'n handtekening moet verskaf om die verklaring van voldoening amptelik te maak. ’n Afskrif van die verklaring moet vir minstens 10 jaar bewaar word.”
Die Britse PSTI-wet tree in April 2024 in werking, terwyl die CRA waarskynlik eers laat 2025 sal land, wat beteken dat vervaardigers en invoerders meer tyd het om voor te berei, vertel Alan Blackwell, hoofkonsultant van Bridewell, aan ISMS.online.
Gaan dit ver genoeg?
Daar is nog 'n debat oor die vraag of die PSTI-wet 'n gemiste geleentheid is om 'n hoër maatstaf vir IoT-sekuriteit in te stel. Blackwell verduidelik dat dit spruit uit beide ETSI EN 303 645 en 'n Britse praktykkode vir verbruikers-IoT-sekuriteit, wat in 2018 gepubliseer is.
“Maar net die top drie [ETSI]-vereistes, uit 'n totaal van 13, het dit in die eerste weergawe van die regulasies gemaak. Byvoorbeeld, een van die huidige weglatings is die behoefte om veilige kommunikasie oor die internet te verskaf,” voeg hy by. "Met verloop van tyd hoop ons om te sien dat die wet voortbou op die aanvanklike drie vereistes om nog meer van die Britse praktykkode en ETSI in te sluit."
Die IoTSF se Moor stem saam en beskryf die wet as 'n "nodige eerste stap" wat 'n grondslag sal bied om op voort te bou.
"Regulasie is 'n fyn balansering tussen die bereiking van sy gestelde doelwitte en die vermyding van onbedoelde gevolge - in hierdie geval, nie om innovasie te smoor nie," voer hy aan. "Die benadering wat die Britse regering gemaak het, is sinvol - dit stel 'n minimum vlak van vereistes en sal dit met verloop van tyd ontwikkel soos nodig."
Bridewell se Blackwell beweer dat die toepassing van die wet uiteindelik sal bepaal hoe doeltreffend dit is om basislynsekuriteit in die bedryf te verbeter.
“Ons sou verwag dat die regulasie met 'n ligte aanraking sal begin, terwyl vervaardigers, verspreiders en invoerders hulself gesorteer kry. Maar tradisioneel, met hierdie soort kuberveiligheidsregulasies, sien ons dat afdwingingsaksie van die reguleerder na 'n paar jaar begin toeneem,” sluit hy af.
Tog, met die PSTI-wet wat nou van krag is, moet organisasies geen tyd mors om die toepaslike tegniese en prosesveranderings aan te bring wat nodig is om daaraan te voldoen nie.
