Haben die neuesten IoT-Sicherheitsvorschriften genügend Reichweite?

Auf der ganzen Welt gab es eine Flut von Regulierungen, da Regierungen versuchten, die IoT-Sicherheit anzugehen. Dies ist ein positiver Schritt, der darauf hinweist, dass der Markt reifer wird, aber die Regulierung des IoT-Bereichs ist nicht ohne Herausforderungen. Solche Schritte sind unweigerlich auf Widerstand gestoßen, von denen, die behaupten, dass sie IoT-Müllberge schaffen könnten, bis hin zu anderen, die sagen, dass sie Innovationen behindern könnten.

Folglich ist jede Rechtsvorschrift etwas anders. Aber wie diese Regulierungen die zukünftige Entwicklung der Regulierung beeinflussen werden, macht es wichtig, dass wir die ergriffenen Maßnahmen berücksichtigen, wo sie sich auszeichnen und wo sie nicht ausreichen, sagt Ken Munro, Partner, Pen Test Partners

1. Der IoT Cybersecurity Improvement Act 2017 (USA):  Mit dem Ziel, das IoT innerhalb der US-Regierung zu kontrollieren, könnte der IoT Cybersecurity Improvement Act tiefgreifende Auswirkungen auf die IoT-Entwicklung haben. Geräte dürfen keine bekannten Sicherheitslücken in der NIST-Datenbank aufweisen, müssen Updates unterstützen, müssen feste oder hartcodierte Anmeldeinformationen für Remote-Admin, Updates und Kommunikation verwenden, und Schwachstellen müssen offengelegt und repariert werden. Die Beschränkung der Fehler auf NIST könnte jedoch dazu führen, dass häufige Probleme, die nicht aufgeführt sind, wie SQL-Injection in Kunden-Apps, übersehen werden. Es wird auch nicht anerkannt, dass viele HF-Protokolle dafür ausgelegt sind, überhaupt keine Anmeldeinformationen zu verwenden, sodass diese Geräte verschrottet oder aufgerüstet werden müssten, um ein strengeres drahtloses Protokoll zu unterstützen. Das Gesetz muss noch verabschiedet werden und andere auf dem Tisch sind der Smart IoT Act, der DIGIT Act, der Security IoT Act, der Cyber ​​Shield Act und der IoT Consumer TIPS Act.
2. Gesetz zur Cybersicherheit (EU):  Mit Wirkung ab Mai 2018 sieht das Gesetz vor, dass die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) die Agentur für Cybersicherheit wird und ein Zertifizierungsrahmen für die Zertifizierung vernetzter Autos und intelligenter Produkte in allen EU-Mitgliedstaaten geschaffen wird. Das Cybersicherheitsgesetz wird nur für kritische nationale Infrastrukturen vorgeschrieben. Hersteller können beantragen, dass ihre IoT-Geräte im Rahmen eines Zertifizierungssystems als „einfach“, „wesentlich“ oder „hoch“ eingestuft werden, aber das System ist freiwillig. Um sie zu locken, können diejenigen, die sich für die „Grundstufe“ entscheiden, „Konformitätsprüfungen selbst durchführen“. In der Dokumentation heißt es, dass die ENISA befugt sein wird, „Warnungen an Anbieter und Hersteller auszugeben, um die Sicherheit zu verbessern“, aber es wird nicht erwähnt, wie dies durchgesetzt wird. Sie sieht Beschwerden vor, sodass Lobbyisten und Sicherheitsforscher in der gesamten Gewerkschaft pfeifen und verantwortungsbewusst offenlegen können.
3. SB-327 (USA):  Das im August 2018 verabschiedete SB-327 macht Kalifornien zum ersten US-Bundesstaat, der Smart Tech reguliert. Es schreibt einige grundlegende Sicherheitsstandards für Verbrauchergeräte vor und tritt ab Januar 2020 in Kraft. Die Formulierung ist jedoch vage und bezieht sich auf „angemessene“ Sicherheit, die „zum Schutz konzipiert“ ist. Die meisten Geräte könnten behaupten, beabsichtigt zu haben, das Gerät/die Daten zu schützen und dadurch die Anforderungen zu umgehen. Es macht eindeutige Passwörter obligatorisch, geht jedoch nicht auf die Frage ein, ob auf dem Gerät eine gute Entropiequelle vorhanden ist. Auch Einzelhändler werden vom Haken gelassen, was dazu führen könnte, dass die Märkte vor 2020 mit nicht konformer Technologie überfüllt werden. Diese Geräte müssen keine Updates unterstützen.
4. Code of Practice for Consumer IoT Security (UK):  Basierend auf dem im März vorgelegten Entwurf des Entwurfs von Secure by Design enthält die vom Digital, Culture, Media and Sport (DCMS) herausgegebene CoP nun die Datenschutz-Grundverordnung (DSGVO). Obwohl sie weitreichend ist und Richtlinien für Hersteller, Entwickler mobiler Apps, Dienstanbieter und Einzelhändler bereitstellt, ist sie freiwillig. Die CoP besagt, dass Standardpasswörter nicht verwendet werden sollten, Anmeldeinformationen und sicherheitsrelevante Daten sicher gespeichert und die Software auf dem neuesten Stand gehalten werden sollte. Es wird jedoch empfohlen, eine Richtlinie zur Offenlegung von Schwachstellen zu verwenden, erfordert jedoch nicht, dass Anbieter einen Fix herausgeben. Nichtsdestotrotz ist dies ein sehr positiver Fortschritt für die IoT-Sicherheit der Verbraucher.

Es ist klar, dass die Behörden einen sanften, sanften Ansatz befürworten, was die Frage aufwirft, werden diese Standards freiwillig eingehalten? IoT-Anbieter stehen unter starkem Druck, ihre Produkte auf den Markt zu bringen. Für sie, jede Form der Regulierung aus eigener Kraft zu übernehmen, müsste es für sie einen erheblichen Vorteil geben ... oder Konsequenzen.

Hier könnte der Markt selbst mehr Druck ausüben. Geben Sie Verbrauchern das Recht, anfällige intelligente Güter gegen Kredit zurückzugeben, indem Sie dies in den Gesetzen zu Handelsstandards verankern. Ermutigen Sie den Einzelhandel, sich dazu zu verpflichten, keine anfälligen Geräte auf Lager zu haben. Hersteller hätten dann eher einen Anreiz zu kapitulieren, sich Klassifikationsschemata anzuschließen und ihre Geräte einer Prüfung zu unterziehen.

Derzeit ist es noch zu früh, um zu sagen, wie effektiv die Selbstregulierung sein wird. Wir müssen die Gesetzgebung fallen lassen und der Branche die Möglichkeit geben, sich an einen möglicherweise entscheidenden Moment für das IoT anzupassen. Nur dann können wir beurteilen, wo wir weitere Strafmaßnahmen ergreifen müssen.

Der Autor dieses Blogs ist Ken Munro, Partner, Pen Test Partners. Er unterrichtet regelmäßig die britischen und US-amerikanischen Regierungen und arbeitet mit  verschiedene EU-Verbraucherräte zur IoT-Regulierung.