В 2016 году такие атаки, как ботнет Mirai, нарушил работу нескольких популярных вебсайтов, и таким образом заставил обратить внимание на необходимость обеспечения безопасности устройств Интернета вещей (IoT). С тех пор Конгресс США предпринимал несколько попыток принять закон о безопасности Интернета вещей, но только сейчас, закон похоже обретает логически завершенный вид.
Закон «Об усовершенствовании кибербезопасности устройств Интернета вещей» от 2019 года не пытается конкретно предписывать, как обеспечить безопасность умных устройств, как например, было указано в аналогичном законопроекте от 2017 года. Вместо этого он нацелен на создание структуры, которую правительство может использовать для составления списка характеристик, необходимых для подключаемых устройств с целью их защиты. Хорошая новость в том, что в законопроекте поставлена задача привлечения для разработки требований к защите устройств, технологически инновационного Национального института стандартов и технологий (NIST). Рекомендации разработанные NIST должны будут применяться при разработке устройств Интернета вещей, в порядке, определяемом Административно-бюджетным управлением США.
Некоторые эксперты в области безопасности обеспокоены тем, что такой подход приведет к снижению стандартов безопасности для ряда применений, поскольку даже если NIST выпускает строгие стандарты, в ряде случаев Управление может вменить к использованию далеко не все из них. Но с другой стороны, это логично. Национальная служба лесничих, вероятно, не требует тех же правил безопасности устройств Интернета вещей, которые требуются Министерству обороны.
Существуют два важных правила, которые нужно помнить. Во-первых, это понимание того, что если вы думаете о безопасности – то при покупке нужно помнить о безопасности. Это может показаться очевидным, но если вы покупаете инфузионные насосы для больницы, вы, вероятно, сосредоточены на покупке лучшего инфузионного насоса, а не на защите от киберугроз.
С IoT безопасность должна быть частью основной функциональности, и поэтому разработка современных IoT устройств должна проводиться с обязательным привлечением специалистов по безопасности. Второе правило состоит в том, что вы должны понимать, что сегодня хорошая безопасность - это непрерывный процесс, а не так, что вы можете установить и забыть.
Вот поэтому отрадно видеть, что новый законопроект требует от NIST оценивать безопасность устройств каждые пять лет и обновлять правительственные стандарты. Конечно, пять лет могут быть вечностью в мире подключенных устройств и технологий, но это только начало.
Закон пока еще не принят, и судя по всему его окончательный вид еще не сформирован. Хотелось бы, чтобы в нем официально определялся бюджет для NIST с целью выполнения работ по обновлению перечня уязвимостей и разработке превентивных мер. Также хотелось бы видеть какой-то план исправления для всех в настоящее время небезопасных устройств, находящихся под контролем правительства, таких как системы вооружения для перехвата ракет и контроля состояния дикой природы в национальных парках. Очевидно, что отсутствие безопасности сильнее нервирует, когда речь идет о ракетах, а не о Карибах, но правительство должно думать об этих вопросах комплексно.
Перевод: https://industry-hunter.com/
