Regeringen er i høring om en lov om sikkerhed i tingenes internet (IoT) for virksomheder. Hvad sker der nu? Banner

Regeringen er i høring om en lov om IoT-sikkerhed i virksomheder. Hvad sker der nu?

Tingenes Internet (IoT) opfattes ofte som et teknologisk avanceret økosystem af "næste generations" enheder og backend-systemer. Faktisk blev udtrykket først opfundet i slutningen af ​​1990'erne, og mange virksomhedsprodukter er mere hverdagsagtige end iøjnefaldende: tænk på printere og netværkstilsluttet lagring (NAS). De er også ofte fyldt med sikkerhedsproblemer.

Derfor lever regeringen op til sit løfte om at fremme sikkerhed gennem design på tværs af alle teknologier – især dem, der er så vigtige for virksomheders produktivitet og effektivitet. Det er dog Indkaldelse af synspunkter om cybersikkerhed for virksomhedsforbundne enheder er blot det første skridt på en potentielt lang rejse mod at forbedre grundlæggende IoT-sikkerhed i virksomheder. Nøglen bliver, hvad der sker derefter.

Hvor dårlig er IoT-sikkerhed?

For at illustrere behovet for politisk intervention bestilte regeringen NCC Group til at udføre en sårbarhedsvurdering af nogle almindeligt anvendte virksomhedsforbundne enheder. Det er ikke særlig pæn læsning.

I alt vurderede cybersikkerhedsspecialisten otte produkter: et avanceret og et billigt IP-kamera, en NAS-enhed, et mødelokalepanel og en VoIP-enhed. Blandt de 50 problemer, der blev opdaget, var ét vurderet som kritisk alvorlighedsgrad, ni som højrisiko og 24 som medium risiko. Det kritiske problem var en billig NAS-enhed, der ikke krævede, at brugerne ændrede standardadgangskoden ved opstart. NCC Group fandt dog masser af andre problemer, herunder:

  • Adskillige "alvorlige" sårbarheder i forbindelse med fjernudførelse af kode, der kan føre til, at en uautoriseret angriber overtager en hel enhed
  • Forældet software på flere enheder, herunder en avanceret IP-kamera bootloader, der var over 15 år gammel
  • Ingen beskyttelse mod en angriber med fysisk adgang til en enhed, der ønsker at kompromittere og installere en vedvarende bagdør på den
  • De fleste enheder kører alle processer som "root"-brugere, hvilket kan give en angriber ubegrænset kontrol over en enhed
  • Usikker konfiguration af tjenester, applikationer og funktioner
  • Ujævn overholdelse af NCSC-principper for enhedssikkerhed og ETSI EN 303 645 standarden

"Mange IoT-enheder kører processer, der kan øge risikoen for fuldstændig systemkompromittering. Vi fandt ud af, at disse sikkerhedshuller ofte er et resultat af forhastet udvikling, omkostningsbesparende foranstaltninger eller bestræbelser på at reducere kompleksiteten af ​​overvågningen," fortæller Jon Renshaw, direktør for sikkerhedsforskningstjenester i NCC Group, til ISMS.online.

"Resultaterne af at gå på kompromis er ofte vidtrækkende og har indflydelse på, hvor mange organisationer der implementerer deres IoT-løsninger."

Tre muligheder på bordet

Ifølge regeringens dokument med indkaldelse af synspunkter er der to hovedudfordringer på markedet for virksomheders IoT. Den første er producenterne selv. Det hævdes, at "bevidstheden om og optagelsen" af en bedste praksis-guide med "11 principper" udarbejdet i 2022 af Department for Science, Innovation and Technology (DSIT) og National Cyber ​​Security Centre (NCSC) "har været lav".

Det andet problem er IT-købere. Citerer data Fra 2021 hævder regeringen, at 58 % af britiske virksomheder ikke kræver "nogen sikkerheds- eller indkøbskontrol", når de investerer i nye forbundne enheder. Dette efterlader dem med enheder med usikre konfigurationer, forældet software og utilstrækkelige sikkerhedsfunktioner, siger den.

Derfor foreslår regeringen en to-trins plan. Den første vil involvere udarbejdelsen af ​​en praksiskodeks for sikkerhed af forbundne enheder i virksomheder, baseret på dokumentet om de 11 principper. Dette vil hjælpe producenter med at designe og bygge mere sikre produkter og hjælpe potentielle købere med at træffe mere informerede købsbeslutninger.

Den anden fase er, hvor regeringen søger mest input fra industrien. Dens tre forslag til "politiske interventioner" er:

  1. Et frivilligt løfte som producenter af IoT-enheder i virksomheder ville underskrive for at bevise over for markedet, at de tager sikkerhed alvorligt. Selvom det ikke er juridisk bindende, ville det kræve, at underskriverne offentligt forpligter sig til at "vise målbare fremskridt" i forhold til principperne i praksiskodekset "inden for en bestemt tidsramme".
  2. En ny global standard designet til at bygge videre på og tilpasse sig eksisterende tilbud som ETSI EN 303 645 og udkastet til ISO 27402. Denne standard ville også være baseret på praksiskodeksen og arbejde for at "skabe international konsensus om, hvordan bedste praksis ser ud". Dette falder dog i høj grad ind under "gulerods"- snarere end "pisk"-tilgangen, da overholdelse teoretisk set også ville være frivillig.
  3. Ny lovgivning designet til at forankre de 11 principper/praksiskodeks i lovgivningen. Dette kunne tage form af en udvidelse af Lov om produktsikkerhed og telekommunikationsinfrastruktur (PSTI) 2022 eller en selvstændig lov. Regeringen indrømmer, at lovgivning ofte er den eneste måde at sikre, at producenter følger bedste praksis i betragtning af IoT-forsyningskædernes globale karakter.

"I modsætning til forbrugere har virksomheder større mulighed for at sikre, at vigtige sikkerhedsforanstaltninger er på plads, såsom at have dedikeret personale til at sikre, at sikkerhedsopdateringer straks rulles ud for at løse problemer og en bedre forståelse af deres netværk," bemærker regeringen. "Vi vil derfor overveje at pålægge virksomheder og andre slutbrugere specifikke forpligtelser til at træffe specifikke handlinger."

John Moor, administrerende direktør for The IoT Security Foundation (IoTSF), glæder sig over regeringens interesse i at øge bevidstheden om enhedssikkerhed og rækker ud til branchen for at finde ud af, "om det er mest passende i forhold til omsorgspligten at opmuntre til adfærd eller at pålægge den".

Han fortæller ISMS.online, at selvom den frivillige kode virker som en "fornuftig" idé, er det måske ikke den rette vej at skabe endnu en sikkerhedsrelateret standard, da det sandsynligvis vil øge kompleksiteten. Moor foretrækker derfor at udvide en eksisterende standard som et alternativ. Han er også skeptisk over for ny regulering.

"Det svære er, hvordan man gennemfører den nødvendige forandring – at holde balancen mellem sikkerhedsforanstaltninger og ikke at kvæle innovation eller opmuntre til reaktiv adfærd, der modarbejder intentionen," argumenterer Moor.

"Det, jeg har lært i løbet af de sidste 10 år, er, at regulering af denne type er praktisk talt umulig at få til – selv PSTI-loven med tre enkle krav er ikke ligetil, og vi er opmærksomme på en række berettigede bekymringer fra industrien."

Moor hævder, at "der opstår komplikationer, og omkostningerne stiger hurtigt med nye reguleringsapparater", så ny lovgivning bør kun ses som en sidste udvej, når alle andre muligheder er udtømt.

NCC Groups Renshaw er mere positiv over for regulering og argumenterer for, at det kan drive adfærdsændringer blandt IoT-producenter.

"Lovgivningen bør kræve, at producenter: udfører uafhængige tredjepartsvurderinger af deres produkter, før de frigives; udviser due diligence i deres forsyningskæder; tager højde for sikkerhedssårbarheder, der påvirker deres produkter; og tydeliggør producenternes og slutbrugernes/kundernes roller og ansvar," fortsætter han.

"Når lovgivningen er i overensstemmelse med disse punkter, vil den beskytte data på tværs af forretningsøkosystemer og sikre, at producenterne tager ansvar for sikkerheden af ​​deres produkter."

I mellemtiden

Ingen af ​​de ovennævnte tre muligheder udelukker hinanden, og regeringen har spurgt industrien, om der også bør overvejes yderligere foranstaltninger. Men det vil tage tid. Indkaldelsen af ​​synspunkter udløber den 7. juli, men tidsplanen derefter er uklar. I mellemtiden skal virksomheders IT-chefer sikre, at det, de køber og operationaliserer, er sikkert.

"IoT-købere skal først forstå deres behov bedre og derefter matche dem med markedets tilbud. Når de først forstår deres krav – som skal omfatte løbende vedligeholdelse i løbet af den angivne levetid – bliver det et spørgsmål om at vælge de bedste leverandører, der passer til disse behov," siger Moor.

"Producenter bør testes på deres 'sikre design'-tilgang og vedligeholdelsessupport. Og købere bør som minimum bede om 'sikre standardløsninger'."

Renshaw fra NCC Group råder IoT-købere til at vælge leverandører "med en stærk sikkerhedshistorik og engagement i branchestandarder". Han tilføjer, at løbende support og regelmæssige firmwareopdateringer også er vigtige. Han argumenterer for, at netværksforsvarere bør supplere dette med "robust sårbarhedsstyring", netværkssegmentering og netværksovervågning for at mindske risikoen.

IoTSF opretholder en praktisk IoT-sikkerhedssikringsramme som kortlægger alle eksisterende og nye standarder og regler, herunder dette forslag og EU's lov om cybermodstandsdygtighed (CRA). Både producenter og købere kan bruge den til at hjælpe med at forstå et stadig mere komplekst reguleringslandskab.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg