Hebben de nieuwste IoT-beveiligingsregels voldoende bereik?

Er is over de hele wereld een golf van regelgeving geweest terwijl regeringen de IoT-beveiliging proberen aan te pakken. Het is een positieve stap, wat aangeeft dat de markt volwassen wordt, maar het reguleren van de IoT-ruimte is niet zonder uitdagingen. Dergelijke stappen stuiten onvermijdelijk op weerstand van degenen die suggereren dat het IoT-afvalbergen zou kunnen creëren, tot anderen die zeggen dat het innovatie in de weg zou kunnen staan.

Daarom is elk stuk wetgeving iets anders. Maar hoe het met deze regelgeving gaat, zal de evolutie van de komende regelgeving vormgeven, waardoor het belangrijk is dat we nadenken over de maatregelen die worden genomen, waar ze uitblinken en waar ze tekortschieten, zegt Ken Munro, partner van Pen Test Partners.

1. De IoT Cybersecurity Improvement Act 2017 (VS):  De IoT Cybersecurity Improvement Act, die gericht is op het beheersen van het IoT binnen de Amerikaanse regering, kan ingrijpende gevolgen hebben voor de ontwikkeling van het IoT. Apparaten mogen geen bekende beveiligingsfouten vertonen in de NIST-database, moeten updates ondersteunen, moeten vaste of hard gecodeerde inloggegevens gebruiken voor beheer op afstand, updates en communicatie, en kwetsbaarheden moeten worden bekendgemaakt en gerepareerd. Door de fouten tot NIST te beperken, kunnen veelvoorkomende problemen die niet worden vermeld, zoals SQL-injectie in klant-apps, echter over het hoofd worden gezien. Het erkent ook niet dat veel RF-protocollen zijn ontworpen om helemaal geen referenties te gebruiken, dus deze apparaten zouden moeten worden gesloopt of geüpgraded om een ​​strakker draadloos protocol te ondersteunen. De wet moet nog worden aangenomen en andere die op tafel liggen zijn de Smart IoT Act, de DIGIT Act, de Security IoT Act, de Cyber ​​Shield Act en de IoT Consumer TIPS Act.
2. Cyberbeveiligingswet (EU):  Met ingang van mei 2018 zal de wetgeving ervoor zorgen dat het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) het agentschap voor cyberbeveiliging wordt en een certificeringskader wordt gecreëerd voor het certificeren van geconnecteerde auto's en slimme producten in alle EU-lidstaten. De Cybersecuritywet wordt alleen gemandateerd voor Kritieke Nationale Infrastructuur. Fabrikanten kunnen verzoeken om hun IoT-apparaten onder een certificeringsschema te laten classificeren als 'basis', 'substantieel' of 'hoog', maar het systeem is vrijwillig. Om ze te verleiden, kunnen degenen die voor het 'basis'-niveau gaan "zelf conformiteitstesten uitvoeren". In de documentatie staat dat ENISA de bevoegdheid zal hebben om "waarschuwingen te geven aan aanbieders en fabrikanten om de beveiliging te verbeteren", maar er wordt niet vermeld hoe dit zal worden gehandhaafd. Het voorziet wel in klachten, waardoor lobbyisten en veiligheidsonderzoekers kunnen fluiten en op verantwoorde wijze de vakbond kunnen informeren.
3. SB-327 (VS):  SB-327, goedgekeurd in augustus 2018, maakt van Californië de eerste Amerikaanse staat die slimme technologie reguleert. Het verplicht tot enkele basisbeveiligingsnormen voor consumentenapparaten en wordt van kracht vanaf januari 2020. De bewoording is echter vaag en verwijst naar "passende" beveiliging die is "ontworpen om te beschermen". De meeste apparaten zouden kunnen beweren dat ze bedoeld waren om het apparaat/de gegevens te beschermen en daarmee de vereisten te omzeilen. Het maakt unieke wachtwoorden verplicht, maar gaat niet in op de vraag of er een goede bron van entropie op het apparaat is. Retailers worden ook vrijgelaten, waardoor de markten vóór 2020 kunnen worden geramd met niet-conforme technologie. Er is geen vereiste voor deze apparaten om updates te ondersteunen.
4. Praktijkcode voor IoT-beveiliging voor consumenten (VK):  Op basis van het concept-voorstel Secure by Design dat in maart werd gelanceerd, bevat de CoP van het Digital, Culture, Media and Sport (DCMS) nu de Algemene Verordening Gegevensbescherming (AVG). Hoewel het een breed bereik heeft en richtlijnen biedt voor fabrikanten, ontwikkelaars van mobiele apps, serviceproviders en retailers, is het vrijwillig. De CoP stelt dat standaardwachtwoorden niet mogen worden gebruikt, referenties en beveiligingsgevoelige gegevens veilig moeten worden opgeslagen en dat de software moet worden bijgewerkt. Hoewel het aanbeveelt om een ​​beleid voor de openbaarmaking van kwetsbaarheden te gebruiken, zijn leveranciers niet verplicht een oplossing uit te brengen. Desalniettemin is het een zeer positieve stap voorwaarts voor de IoT-beveiliging van consumenten.

Wat duidelijk is, is dat de autoriteiten een groot voorstander zijn van een zachte, zachte benadering, wat de vraag oproept of deze normen vrijwillig worden nageleefd? IoT-leveranciers staan ​​onder grote druk om hun producten op de markt te brengen. Als ze zelf enige vorm van regulering zouden aannemen, zou er een aanzienlijk voordeel voor hen moeten zijn ... of gevolgen.

Het is hier waar de markt zelf meer druk zou kunnen uitoefenen. Geef consumenten het recht om kwetsbare slimme goederen voor krediet terug te sturen door dit vast te leggen in de wetgeving inzake handelsnormen. Moedig de detailhandel aan om zich ertoe te verbinden kwetsbare apparaten niet op voorraad te houden. Fabrikanten zouden dan meer geneigd zijn te capituleren, zich aan te melden voor classificatieschema's en hun apparaten aan tests te onderwerpen.

Op dit moment is het te vroeg om te zeggen hoe effectief zelfregulering zal zijn. We moeten de wetgeving laten rusten en de industrie de kans geven om zich aan te passen aan wat een cruciaal moment zou kunnen zijn voor het IoT. Alleen dan kunnen we beoordelen waar we meer strafmaatregelen moeten nemen.

De auteur van deze blog is Ken Munro, partner van Pen Test Partners. Hij informeert regelmatig Britse en Amerikaanse regeringsafdelingen en is betrokken bij  verschillende EU-consumentenraden over IoT-regulering.