Oletko valmis Britannian uuteen IoT-tietoturvalakiin?
Sisällysluettelo:
Yhdistyneen kuningaskunnan verkkoteknologian markkinat ovat olleet turvattomien sarjojen tulva jo vuosia. Tämä on huono uutinen kuluttajille ja yrityksille, sillä vaarantuneita laitteita voidaan käyttää hyökkäyksiin molempia vastaan ja samalla heikentää markkinoiden luottamusta uuteen teknologiaan. Keskiverto britti pääsee nyt käsiksi enemmän kuin yhdeksän Liitetyt laitteet, hallitus on myöhässä antanut lainsäädäntöä parantaakseen perusturvastandardeja. Se tuli voimaan joulukuussa 2023.
Vaikka ei täydellinen, Product Security and Telecommunications Infrastructure (PSTI) Act 2022 -laki lupaa olla alku tiukemmalle vaatimustenmukaisuusjärjestelmälle älykkäiden tuotteiden valmistajille, jakelijoille ja maahantuojille.
Miksi tarvitsemme PSTI-lakia?
IoT-riski ei alkanut Mirain kanssa, mutta se oli ensimmäinen suuri uhka yhdistettyjen teknologioiden luontaisten haavoittuvuuksien paljastamiseksi. Uhkatoimijat käyttivät samannimistä haittaohjelmaa tutkiakseen kytkettyjä IoT-laitteita, jotka käyttävät edelleen oletuskäyttäjänimeä ja -salasanaa, joilla he lähtivät tehtaalta. Sen jälkeen se kirjautuisi sisään ja kaapaisi päätepisteet etäältä ja rakentaisi bottiverkon DDoS:ää, napsautuspetoksia, roskapostikampanjoita ja muita uhkia varten.
Toinen yleinen ongelma sekä yritys- että kuluttajatason IoT-sarjoissa ovat itse laiteohjelmiston haavoittuvuudet, joita uhkatoimijat voivat hyödyntää. IoT Security Foundationin (IoTSF) tuore tutkimus todettiin, että vain 27 % 332 arvioidusta IoT-valmistajasta suorittaa jopa haavoittuvuuden paljastamisohjelmia. Tuotteet, joita tämä koskee, voivat vaihdella verkkoreitittimistä lääkinnällisten laitteiden ja DVR:t itkuhälyttimiin.
Mitä PSTI-laki sisältää?
Tässä tulee PSTI-laki mukaan. Se on itse asiassa kaksi lainsäädäntöä yhdessä, mutta olemme kiinnostuneita siitä ensimmäisestä puoliskosta, "tuoteturvallisuudesta". Tavoite on yksinkertainen: tehdä kuluttajatason IoT:stä Isossa-Britanniassa myytävät sarjat ovat oletuksena turvallisempia. Se velvoittaa valmistajat, jakelijat ja maahantuojat noudattamaan tiukkoja IoT-tuotteita koskevia sääntöjä. Kahden jälkimmäisen kokonaisuuden sisällyttämisen tarkoituksena on varmistaa, että organisaatiot eivät voi yksinkertaisesti ohittaa sääntöjä tuomalla turvattomia tuotteita maan ulkopuolelta.
Mitä se siis velvoittaa? ETSI EN 303 645 (5.1–5.3) -standardin ja turvaraportoinnin osalta ISO/IEC 29147 -standardin pohjalta on kolme keskeistä elementtiä:
salasanat:
On oltava yksilöllinen jokaiselle tuotteelle tai käyttäjän määrittelemä. Tehtaalla määritettyjä salasanoja ei saa olla helppo arvata tai luetella.
Haavoittuvuuden paljastaminen:
Valmistajalla/jakelijalla/maahantuojalla on oltava vähintään yksi yhteyspiste, ja kun he saavat tietoturvaraportin, heidän on kuitattava se ja lähetettävä päivityksiä, kunnes ratkaisu on saavutettu.
Tietoturvapäivityksen vähimmäisaika:
Tiedot päivitysajasta on julkaistava. Mitään vähimmäismäärää ei ole, vain se on julkaistava. Siinä sanotaan myös, että ajanjaksoa ei voi lyhentää, mutta sitä voidaan pidentää.
IoTSF:n toimitusjohtaja John Moor kertoo ISMS.onlinelle, että nämä vaatimukset ovat osittain teknisiä ja osittain prosessipohjaisia.
”Valmistajien on suunniteltava tuotteita, joilla on ainutlaatuiset ja vahvat salasanat ”pakkauksesta käsin”, ja käyttäjien tulee voida vaihtaa niitä. Tällä on selvät vaikutukset tuotteiden suunnitteluun. Toinen vaatimus on pyrkimys varmistaa tietoturvan ylläpito – että tunnetut haavoittuvuudet voidaan korjata kentällä tai äärimmäisissä tilanteissa palauttaa. Tämä tarkoittaa, että kaikilla yrityksillä on oltava prosessi, jossa "tutkijat" tai maallikot voivat ottaa yhteyttä toimittajaan ja raportoida turvallisuusongelmista", hän lisää.
"Kolmas vaatimus on kertoa kuluttajalle siitä, mitä voidaan odottaa turvallisuuden ylläpidolta – tämä vaikuttaa myös suunnitteluvaiheeseen – miten tietoturvapäivitykset otetaan käyttöön? Mikä on massapäivitysprosessi?"
Lakia rikkoville organisaatioille voidaan määrätä sakkoja, jotka ovat enintään 10 miljoonaa puntaa tai 4 prosenttia niiden maailmanlaajuisista vuosituloista sen mukaan, kumpi on suurempi. PSTI-laki antaa myös valtiosihteerille valtuudet antaa pysäytys- ja palautusilmoituksia.
Miten se sopii yhteen eurooppalaisen järjestelmän kanssa?
Vastaava järjestelmä EU:ssa on Cyber Resilience Act (CRA), joka työskentelee edelleen blokin lainsäädäntöelinten läpi. Se näyttää asettavan korkeamman riman Mitä tulee IoT-turvallisuuteen, pakottavat IoT-tuotteet tuotetaan oletusturvallisella kokoonpanolla ilman hyödynnettävissä olevia haavoittuvuuksia, ja niissä on asianmukaiset todennusmekanismit sekä tarvittaessa tietojen salaus. Riskien ja vaatimustenmukaisuuden arviointeja vaaditaan myös silloin, kun ne eivät ole Yhdistyneessä kuningaskunnassa.
Yhdistyneessä kuningaskunnassa ja EU:ssa toimiville organisaatioille vaatimusten noudattamisen ei pitäisi olla vaikeaa, kunhan ne noudattavat tiukempaa EU-järjestelmää.
"Onneksi on käyty jatkuvaa vuoropuhelua Ison-Britannian viranomaisten ja EU:n viranomaisten kanssa. Parhaan tietomme mukaan yritykset pystyvät yhdenmukaistamaan Ison-Britannian ja EU:n vaatimukset ilman merkittäviä lisäkustannuksia”, Moor sanoo.
"Luettelossa 4 esitetään vähimmäismäärä tietoja, jotka on ilmoitettava vaatimustenmukaisuusilmoituksessa. Valmistajien on toimitettava vähimmäistiedot vaatimustenmukaisuusvakuutuksestaan ja allekirjoitettava, jotta vaatimustenmukaisuusvakuutus voidaan tehdä virallisesti. Kopio lausunnosta on säilytettävä vähintään 10 vuotta."
Yhdistyneen kuningaskunnan PSTI-laki tulee voimaan huhtikuussa 2024, kun taas CRA todennäköisesti laskeutuu vasta vuoden 2025 lopulla, mikä tarkoittaa, että valmistajilla ja maahantuojilla on enemmän aikaa valmistautua, Bridewellin pääkonsultti Alan Blackwell kertoo ISMS.online-sivustolle.
Meneekö se tarpeeksi pitkälle?
Keskustelua käydään edelleen siitä, onko PSTI-laki hukattu tilaisuus asettaa korkeampi rima IoT:n tietoturvalle. Blackwell selittää, että se perustuu sekä ETSI EN 303 645 -standardiin että Yhdistyneen kuningaskunnan kuluttajien IoT-turvallisuuden käytännesääntöihin, jotka julkaistiin vuonna 2018.
"Mutta vain kolme parasta [ETSI:n] vaatimusta yhteensä 13:sta ovat päässeet säännösten ensimmäiseen versioon. Esimerkiksi yksi tämän hetken puutteista on tarve tarjota suojattua viestintää Internetin kautta”, hän lisää. "Ajan myötä toivomme, että laki rakentuu kolmelle ensimmäiselle vaatimukselle, jotta se sisältää lisää Yhdistyneen kuningaskunnan käytännesäännöistä ja ETSI:stä."
IoTSF:n Moor on samaa mieltä ja kuvailee lakia "välttämättömäksi ensimmäiseksi askeleeksi", joka tarjoaa perustan rakentamiselle.
"Sääntely on hieno tasapainotoimi asetettujen tavoitteiden saavuttamisen ja ei-toivottujen seurausten välttämisen välillä – tässä tapauksessa ei tukahduttaa innovaatioita", hän väittää. "Ison-Britannian hallituksen lähestymistapa on järkevä – se asettaa vähimmäisvaatimukset ja kehittää niitä ajan myötä tarpeen mukaan."
Bridewell's Blackwell väittää, että lain täytäntöönpano ratkaisee viime kädessä, kuinka tehokkaasti se parantaa perusturvallisuutta alalla.
”Odotamme sääntelyn alkavan kevyellä otteella, kun valmistajat, jakelijat ja maahantuojat järjestäytyvät. Mutta perinteisesti tällaisten kyberturvallisuusmääräysten yhteydessä näemme, että valvontaviranomaiset alkavat lisääntyä muutaman vuoden kuluttua”, hän päättää.
Silti nyt voimassa olevan PSTI-lain myötä organisaatioiden ei tule hukata aikaa tarvittavien teknisten ja prosessimuutosten tekemiseen.
