home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

De ETSI IoT-standaard:doen regelgevers genoeg om IoT-apparaten te beschermen?

De aankondiging van een nieuwe standaard voor Internet of Things (IoT)-beveiliging door ETSI technische commissie in juni 2020 was zeer welkom in de infosec-industrie. ETSI EN 303 645 stelt een veiligheidsbasis voor producten met internetverbinding in en bevat 13 bepalingen waarin de stappen worden beschreven die fabrikanten kunnen nemen om apparaten te beveiligen en naleving te waarborgen. Alan Grau, vice-president van IoT en embedded oplossingen, Sectigo rapporten.

De nieuwe verordening volgt een groeiende trend van wetgevers en regelgevers die zich bewust worden van de urgente kwestie van cyberbeveiliging in het internet der dingen. In navolging van de SB-327 uit Californië, die begin 2020 van kracht werd, en het Australische "Draft Code of Practice:Securing the Internet of Things for Consumers" uit 2019, werd het duidelijk dat regeringen en internationale instanties begonnen met het aanpakken van de ga de uitdaging aan.

Toen het VK in januari 2020 zijn nieuwe IoT-framework aankondigde, versterkte de stap het argument dat IoT-beveiliging jarenlang onvoldoende was geweest, en regelgevers waren klaar om dat te wijzigen.

De vraag blijft echter:doen deze wetgevingen en normen voldoende om de beveiliging van IoT-apparaten aan te pakken?

De rol van wetgeving bij het beveiligen van het IoT

Gedurende vele jaren zouden apparaten werken in gesloten, eigen netwerken, beveiligd met een verdedigbare perimeter. Met de komst van internet werden deze systemen steeds meer via TCP/IP met elkaar verbonden. De voordelen hiervan zijn veel besproken, waarbij IoT-apparaten een centraal onderdeel vormen van het leven van consumenten en van bedrijfsnetwerken. En hun groei blijft niet te stoppen:analistenhuis IDC voorspelt dat er in 2025 41,6 miljard verbonden IoT-apparaten in gebruik zullen zijn.

De consensus in de wetgeving heeft deze groei echter niet kunnen bijbenen. Naarmate de markt zich uitbreidde, hebben nieuwe leveranciers en fabrikanten de prijzen vaak onderboden van concurrenten, om een ​​populair en toegankelijk go-to-market-aanbod te creëren. Door kosten te besparen kunnen oplossingen snel op de markt worden gebracht, maar veel te weinigen investeren voldoende tijd en organisatorische focus om de juiste niveaus van authenticatie en beveiliging op te nemen.

Bij gebrek aan een effectief IoT-wetgevingskader, hebben fabrikanten tientallen jaren besteed aan het produceren van apparaten met weinig tot geen ingebouwde beveiliging, met vaak alleen statische referenties als een barrière voor cybercriminelen. Tenzij beveiliging verplicht wordt gesteld, zullen fabrikanten blijven bezuinigen ten koste van de veiligheid. Alleen wetgeving en grondige governance kunnen ervoor zorgen dat IoT-beveiliging wordt geïmplementeerd door het ontwerp, op het moment van fabricage en gedurende de hele levenscyclus van het apparaat.

De kleine stappen naar veiligheid

Aan de ene kant is het geweldig om te zien dat er vooruitstrevende stappen zijn gezet om IoT-apparaten te beveiligen. Anderzijds is het duidelijk dat er nog meer veranderingen moeten worden aangebracht en dat er een bredere consensus moet worden bereikt.

Kijkend naar de VS, bijvoorbeeld, heeft SB-327 een duidelijk kader opgesteld voor fabrikanten om beveiligings- en authenticatietools van de volgende generatie te gebruiken. Het was een belangrijke stap, die bedoeld was om botnets aan te pakken die ernstige tekortkomingen in eerdere beveiligingspraktijken aan het licht hadden gebracht. Helaas was het een geïsoleerde wetgeving, specifiek voor de staat Californië en niet-bindend op nationaal niveau.

Kijkend door de lens van ETSI EN 303 645 kan een soortgelijke conclusie worden getrokken. Dit is het resultaat van samenwerking tussen figuren uit de industrie, academici en overheden en toch is de nieuwe norm niet afdwingbaar en juridisch bindend.

Hoewel het een enkel doel vormt voor fabrikanten en IoT-belanghebbenden om naar toe te gaan, zullen er nog steeds sommigen in de industrie zijn die de neiging hebben om lakse beveiligingsprocessen te implementeren, omdat het goedkoper is en vaak simpelweg omdat ze kunnen, zonder dat ze ter verantwoording worden geroepen.

Het is belangrijk om vooruitstrevende normen te creëren die de uitdaging van beveiliging in het IoT aanpakken, maar dit moet worden aangevuld met een wetgevingsagenda, een agenda die ervoor zorgt dat fabrikanten zich houden aan een cyberbeveiligingskader bij het maken van apparaten.

Waarom ingebouwd het beste is

Het is duidelijk dat overheden en brancheorganisaties actiever moeten zijn in het creëren van een IoT-beveiligingsconsensus, maar er is enige discussie over wat de beste praktijken zijn voor het beveiligen van deze apparaten. Iets dat nu algemeen bekend is, is het belang van ingebouwde beveiliging en PKI-authenticatie op het punt van fabricage. Met steeds ingewikkelder toeleveringsketens, ligt de nadruk op de OEM om ervoor te zorgen dat het apparaat veilig is op het moment dat het wordt gemaakt.

Om het apparaat te authenticeren en te versleutelen, moet PKI worden ingebouwd, zodat er verder in de toeleveringsketen niet mee kan worden geknoeid door kwaadwillende actoren. Alleen als de chipset is geverifieerd en beschermd door certificaten uit de productiefase van de gieterij, blijft deze veilig gedurende de hele levenscyclus van het apparaat.

Wereldwijde toeleveringsketens – tijd voor wereldwijde normen?

IoT zorgt voor ongeëvenaarde connectiviteit tussen apparaten, mensen en ondernemingen, maar brengt ook risico's met zich mee voor thuis- en bedrijfsnetwerken. De enorme groei van de industrie heeft het productieproces gecompliceerd, zodat apparaten nu worden gemaakt in supply chains van enorme complexiteit en over internationale grenzen heen.

Om deze problematische uitdaging aan te pakken, is het tijd voor wetgevers om samen te werken, om een ​​wereldwijde consensus te creëren die apparaten in elke fase van hun levenscyclus beschermt. Alleen op deze manier blijven toeleveringsketens en eindproducten veilig en worden risico's voor eigendom, leven en gegevensbeveiliging op afstand gehouden.

De auteur is Alan Grau, vice-president van IoT en Embedded Solutions, Sectigo.


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. De weg naar industriële IoT-beveiliging
    2. De zoektocht naar een universele IoT-beveiligingsstandaard
    3. Beveiligingsproblemen van het industriële IoT aanpakken
    4. De uitdaging van IoT-beveiliging voor thuiswerkers aangaan
    5. De IoT-bedreigingsvector beveiligen
    6. De beveiligingsuitdaging van het internet der dingen:deel 1
    7. Hebben de nieuwste IoT-beveiligingsregels voldoende bereik?
    8. Groeiende acceptatie van IoT-apparaten is het grootste cyberbeveiligingsrisico
    9. IoT-verkeer in de onderneming neemt toe, net als de bedreigingen
    10. Het belang van $ 6 biljoen van beveiligingsstandaarden en -regelgeving in het IoT-tijdperk
    11. IoT transformeert de onderneming:ontdek hoe uw collega's het doen