IoT-beveiligingswet vraagt ​​om standaarden

Voor veel IoT-ontwikkelteams blijft beveiliging een item op de verlanglijst dat de kosten en moeite niet waard is die nodig zijn voor implementatie in een consumentenproduct. Consumenten lijken niet bereid om extra te betalen voor verbeterde cyberbeveiligingsfuncties of om producten zonder dergelijke functies te vermijden. Wetgevende activiteiten beginnen beveiliging echter tot een wettelijke vereiste te maken voor IoT-ontwerpen voor consumenten.

Tijdens een toespraak op de IoT-beveiligingstop van IoT World Today, wees de programmamanager van het Amerikaanse National Institute of Standards and Technology (NIST) Katerina Megas erop dat wetgeving die vereist dat IoT-apparaten beveiliging moeten integreren in sommige staten al in de boeken staat, en wordt toegevoegd aan ook federale wetgeving. In januari 2020 merkte Megas op dat zowel Californië als Oregon wetten hebben uitgevaardigd die fabrikanten van aangesloten apparaten in hun staten verplichten hun apparaten uit te rusten met "redelijke beveiligingsfuncties". Bovendien hebben verschillende andere staten - waaronder Illinois, Massachusetts, New York en Virginia - soortgelijke wetgeving in behandeling of wordt overwogen.

Megas merkte ook op dat de Amerikaanse regering wetgeving begint op te stellen die IoT-beveiliging verplicht stelt. Zo introduceerde het Amerikaanse Huis van Afgevaardigden in maart H.R. 1668 – The Internet of Things Cybersecurity Improvement Act of 2020. De wet roept op tot het creëren van "normen en richtlijnen voor de federale overheid voor het juiste gebruik en beheer door instanties van Internet of Things-apparaten die eigendom zijn van of worden beheerd door een instantie en verbonden zijn met informatiesystemen die eigendom zijn van of worden beheerd door een instantie, inclusief minimale informatiebeveiliging vereisten voor het beheer van cyberbeveiligingsrisico's die aan dergelijke apparaten zijn verbonden." Het werd door zowel het Huis als de Senaat aangenomen en werd op 4 december in de wet ondertekend; normen en richtlijnen moeten binnen 90 dagen worden gepubliceerd.

Wetten die voorschrijven dat beveiligingsfuncties in IoT-apparaten moeten worden geïmplementeerd, worden nu ingevoerd.

Hoewel H.R. 1668 alleen van toepassing is op IoT-systemen die de Amerikaanse regering gebruikt, markeert dit het begin van cyberbeveiligingsmandaten die uiteindelijk ook in de VS van toepassing zullen zijn op industriële en consumentensystemen. In 2019 heeft het Congres de Cyberspace Solarium Commission opgericht om een ​​strategische aanpak voor de VS te ontwikkelen om zichzelf te verdedigen in cyberspace. Het eerste rapport van die commissie bevatte meer dan 80 aanbevelingen, waaronder meer dan 50 wetgevingsvoorstellen om de gelaagde defensiestrategie van de commissie te helpen implementeren. Veel van deze voorstellen hebben niet alleen betrekking op de systemen van de overheid, ze zijn ook van toepassing op industriële en consumentensystemen.

Drie specifieke voorstellen verdienen acute aandacht van IoT-ontwikkelteams. Men roept de VS op om een ​​IoT-beveiligingswet goed te keuren die "redelijke beveiligingsmaatregelen" verplicht stelt in overeenstemming met NIST-aanbevelingen zoals NISTIR 8259 - Foundational Cybersecurity Activities for IoT Device Manufacturers. Een ander voorstel vraagt ​​om de oprichting van een National Cybersecurity Certification and Labelling Authority, die zal controleren of het IoT-apparaat aan de vereisten voldoet. Verder roept dit voorstel die autoriteit op om haar reikwijdte uit te breiden tot niet alleen federale en industriële IoT-systemen, maar ook persoonlijke en consumentenelektronica.

Het derde voorstel dat aandacht verdient, heeft het potentieel om eventuele resterende economische bezwaren tegen het implementeren van IoT-beveiliging in het ontwerp teniet te doen. Dit voorstel roept op tot het instellen van aansprakelijkheid voor monteurs van eindgoederen. Indien geïmplementeerd, zullen fabrikanten van te koop aangeboden IoT-apparaten aansprakelijk zijn voor schade als hun apparaten niet beschermen tegen bekende kwetsbaarheden. Met andere woorden, IoT-beveiliging wordt een 'must-have'-functie, of het consumenten nu verleidt om meer uit te geven of niet. Het risico van het niet implementeren van beveiliging zal gewoon te groot zijn.

De 'redelijke beveiligingskenmerken' waar al deze wetgeving om vraagt, zijn vooralsnog slechts vaag gedefinieerd. In de wetten van Californië en Oregon, volgens Megas, roept de definitie van "redelijk" eenvoudigweg maatregelen op die geschikt zijn voor de functie van het apparaat en de informatie die het verwerkt, en om ongeoorloofde toegang, openbaarmaking, gebruik, wijziging of vernietiging van die informatie. Specifieke maatregelen zijn niet gedefinieerd.

Dat zullen ze waarschijnlijk ook niet zijn. Zoals Megas in de presentatie aangaf, is een leidende filosofie voor NIST bij het aanbevelen van cyberbeveiligingsmaatregelen dat één maat niet voor iedereen geldt. Specifieke maatregelen worden daarom niet in deze wetten gecodeerd. In plaats daarvan volgen de inspanningen een resultaatgerichte benadering. De komende wetten die IoT-ontwerpen vereisen om cyberbeveiliging te implementeren, specificeren niet hoe dit moet gebeuren. Die vastberadenheid zal nog steeds bij de ontwikkelteams liggen. Maar de behoefte aan IoT-beveiliging, en de functionaliteit van de implementatie ervan, ligt op schema om te evolueren van gezond verstand naar wettelijke vereiste.

>> Dit artikel is oorspronkelijk gepubliceerd op onze zustersite, EDN.