Die regering konsulteer oor 'n IoT-sekuriteitswet vir ondernemings. Wat gebeur volgende? banier

Die regering konsulteer oor 'n IoT-sekuriteitswet vir ondernemings. Wat gebeur volgende?

Die Internet van Dinge (IoT) word dikwels beskou as 'n tegnologies gevorderde ekosisteem van "volgende-generasie" toestelle en agterkantstelsels. Trouens, die term is die eerste keer in die laat 1990's geskep, en baie ondernemingsprodukte is meer alledaags as opvallend: dink aan drukkers en netwerkgehegte berging (NAS). Hulle is ook dikwels deurspek met sekuriteitskwessies.

Daarom kom die regering sy belofte na om sekuriteit deur ontwerp oor alle tegnologieë te bevorder – veral dié wat so belangrik is vir korporatiewe produktiwiteit en doeltreffendheid. Dit is egter Oproep vir menings oor die kuberveiligheid van ondernemingsgekoppelde toestelle is slegs die eerste stap in 'n potensieel lang reis om basiese korporatiewe IoT-sekuriteit te verbeter. Die sleutel sal wees wat volgende gebeur.

Hoe sleg is IoT-sekuriteit?

Om die behoefte aan beleidsingryping te illustreer, het die regering die NCC Groep opdrag gegee om 'n kwesbaarheid assessering van sommige algemeen gebruikte toestelle wat aan ondernemings gekoppel is. Dit maak nie besonder mooi leesstof nie.

In totaal het die kuberveiligheidspesialis agt produkte beoordeel: 'n hoë-end en 'n lae-end IP-kamera, NAS-toestel, vergaderkamerpaneel en VoIP-toestel. Onder die 50 probleme wat ontdek is, was een as kritieke ernstigheidsgraad gegradeer, nege as hoë risiko en 24 as medium risiko. Die kritieke probleem was 'n lae-end NAS-toestel wat nie vereis het dat gebruikers die standaardwagwoord met opstart verander nie. NCC Group het egter baie ander probleme gevind, insluitend:

  • Verskeie "ernstige" kwesbaarhede vir die uitvoering van afstandkode wat kan lei tot die oorname van 'n hele toestel deur 'n ongeverifieerde aanvaller.
  • Verouderde sagteware op verskeie toestelle, insluitend 'n hoë-end IP-kamera-laaiprogram wat meer as 15 jaar oud was
  • Geen beskerming teen 'n aanvaller met fisiese toegang tot 'n toestel wat 'n aanhoudende agterdeur daarop wil installeer nie.
  • Meeste toestelle wat alle prosesse as "root"-gebruiker uitvoer, wat 'n aanvaller onbeperkte beheer oor 'n toestel kan gee
  • Onveilige konfigurasie van dienste, toepassings en funksies
  • Ongelyke nakoming van die NCSC-toestelsekuriteitsbeginsels en die ETSI EN 303 645-standaard

“Baie IoT-toestelle gebruik prosesse wat die risiko van volledige stelselkompromie kan verhoog. Ons het gevind dat hierdie sekuriteitsgapings dikwels die gevolg is van haastige ontwikkeling, kostebesparende maatreëls of pogings om die kompleksiteit van monitering te verminder,” vertel Jon Renshaw, direkteur van sekuriteitsnavorsingsdienste van die NCC Groep, aan ISMS.online.

“Die gevolge van kortpaaie is dikwels verreikend en het 'n impak op hoeveel organisasies hul IoT-oplossings ontplooi.”

Drie opsies op die tafel

Volgens die regering se dokument met 'n oproep vir menings, is daar twee hoofuitdagings in die mark vir ondernemings-IoT. Die eerste is die vervaardigers self. Dit beweer dat "bewustheid en opname" van 'n beste praktyk "11 beginsels"-gids wat in 2022 deur die Departement van Wetenskap, Innovasie en Tegnologie (DSIT) en die Nasionale Kuberveiligheidsentrum (NCSC) opgestel is, "laag gebly het".

Die tweede kwessie is IT-kopers. Aanhaling data Vanaf 2021 beweer die regering dat 58% van Britse besighede geen "geen sekuriteits- of verkrygingskontroles" vereis wanneer hulle in nuwe gekoppelde toestelle belê nie. Dit laat hulle toestelle met onveilige konfigurasies, verouderde sagteware en onvoldoende sekuriteitskenmerke gebruik, sê dit.

Daarom stel die regering 'n tweefase-plan voor. Die eerste sal die opstel van 'n Praktykkode vir die Sekuriteit van Ondernemingsgekoppelde Toestelle behels, gebaseer op die 11-beginselsdokument. Dit sal vervaardigers help om veiliger produkte te ontwerp en te bou en voornemende kopers te help om meer ingeligte aankoopbesluite te neem.

Die tweede fase is waar die regering die meeste insette van die bedryf soek. Die drie voorstelle vir "beleidsintervensies" is:

  1. 'n Vrywillige belofte dat vervaardigers van ondernemings-IoT-toestelle sou teken om aan die mark te bewys dat hulle ernstig is oor sekuriteit. Alhoewel dit nie wetlik bindend is nie, sou dit vereis dat ondertekenaars hulle in die openbaar verbind tot "meetbare vordering toon" teenoor die beginsels in die praktykkode "binne 'n bepaalde tydsbestek".
  2. 'n Nuwe globale standaard ontwerp om voort te bou op en in lyn te kom met bestaande aanbiedinge soos ETSI EN 303 645 en die konsep ISO 27402. Hierdie standaard sal ook gebaseer wees op die praktykkode en werk "om internasionale konsensus te vestig oor hoe beste praktyk lyk". Dit val egter baie onder die "wortel"- eerder as die "stok"-benadering, aangesien voldoening teoreties ook vrywillig sou wees.
  3. nuwe wetgewing ontwerp om die 11 beginsels/praktykkode in die wet te veranker. Dit kan die vorm aanneem van 'n uitbreiding na die Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI) 2022 of 'n alleenstaande wet. Die regering erken dat, gegewe die globale aard van IoT-voorsieningskettings, wetgewing dikwels die enigste manier is om te verseker dat vervaardigers beste praktyke volg.

“Anders as verbruikers, het besighede ’n groter vermoë om te verseker dat belangrike sekuriteitsversagtings in plek is, soos om toegewyde personeel te hê om te verseker dat sekuriteitsopdaterings vinnig uitgerol word om probleme op te los en ’n beter begrip van hul netwerk te hê,” merk die regering op. “Ons sal dus oorweeg om spesifieke verpligtinge op besighede en ander eindgebruikers te plaas om spesifieke stappe te neem.”

John Moor, besturende direkteur van The IoT Security Foundation (IoTSF), verwelkom die regering se belangstelling om bewustheid van toestelsekuriteit te verhoog en die bedryf te kontak om uit te werk “of die aanmoediging van gedrag of die verpligting daarvan die mees gepas is vir die sorgplig”.

Hy sê vir ISMS.online dat hoewel die vrywillige kode soos 'n "verstandige" idee lyk, die skep van nog 'n sekuriteitsverwante standaard dalk nie die regte pad is nie, aangesien dit waarskynlik kompleksiteit sal byvoeg. Moor verkies dus die uitbreiding van 'n bestaande standaard as 'n alternatief. Hy is ook skepties oor nuwe regulasie.

“Die moeilike deel is hoe om die nodige verandering te bewerkstellig – om die balans te handhaaf tussen voorsorgmaatreëls en nie innovasie te onderdruk of reaktiewe gedrag aan te moedig wat teen die bedoeling werk nie,” argumenteer Moor.

“Wat ek oor die afgelope 10 jaar geleer het, is dat regulering van hierdie tipe feitlik onmoontlik is om reg te kry – selfs die PSTI-wet met drie eenvoudige vereistes is nie eenvoudig nie, en ons is bewus van 'n aantal geldige bekommernisse van die bedryf.”

Moor beweer dat “komplikasies ontstaan ​​en koste vinnig eskaleer met nuwe regulatoriese apparaat”, dus moet nuwe wetgewing slegs as 'n laaste uitweg beskou word wanneer alle ander opsies uitgeput is.

Renshaw van NCC Group is meer positief oor regulering en voer aan dat dit gedragsveranderinge onder IoT-vervaardigers kan aanwakker.

“Wetgewing behoort vervaardigers te vereis om: onafhanklike derdeparty-assesserings van hul produkte uit te voer voordat hulle vrygestel word; behoorlike sorgvuldigheid met hul voorsieningskettings te demonstreer; rekening te hou met sekuriteitskwesbaarhede wat hul produkte beïnvloed; en die rolle en verantwoordelikhede van vervaardigers en eindgebruikers/kliënte duidelik te maak,” gaan hy voort.

“Wanneer wetgewing op hierdie punte in lyn is, sal dit data oor sake-ekosisteme beskerm en verseker dat vervaardigers verantwoordelikheid neem vir die sekuriteit van hul produkte.”

Intussen

Geen van die bogenoemde drie opsies is onderling uitsluitend nie, en die regering het die bedryf gevra of enige bykomende maatreëls ook oorweeg moet word. Maar dit sal tyd neem. Die oproep vir menings sluit op 7 Julie, maar die tydskedule daarna is onduidelik. Intussen moet IT-base van ondernemings verseker dat wat hulle koop en operasioneel maak, veilig is.

“IoT-kopers moet eers hul behoeftes beter verstaan ​​en dit dan met markaanbiedinge vergelyk. Sodra hulle hul vereistes verstaan ​​– wat deurlopende onderhoud oor die vermelde bedryfslewe moet insluit – word dit 'n kwessie van die keuse van die beste verskaffers om aan daardie behoeftes te voldoen,” sê Moor.

“Vervaardigers moet getoets word op hul 'veilig deur ontwerp'-benadering en onderhoudsondersteuning. En kopers moet ten minste vir 'veilig deur verstek'-oplossings vra.”

Renshaw van die NCC Group raai IoT-kopers aan om verskaffers te kies "met 'n sterk sekuriteitsrekord en toewyding aan bedryfstandaarde". Hy voeg by dat deurlopende ondersteuning en gereelde firmware-opdaterings ook belangrik is. Hy voer aan dat netwerkverdedigers "robuuste kwesbaarheidsbestuur", netwerksegmentering en netwerkmonitering bo-op hierdie moet voeg om risiko te verminder.

Die IoTSF handhaaf 'n handige IoT-sekuriteitsversekeringsraamwerk wat alle bestaande en opkomende standaarde en regulasies karteer, insluitend hierdie voorstel en die EU-wet op kuberveerkragtigheid (CRA). Beide vervaardigers en kopers kan dit gebruik om sin te maak van 'n toenemend komplekse regulatoriese landskap.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste