Esineiden internetiä (IoT) pidetään usein teknologisesti edistyneenä ekosysteeminä, joka koostuu "seuraavan sukupolven" laitteista ja taustajärjestelmistä. Itse asiassa termi keksittiin ensimmäisen kerran 1990-luvun lopulla, ja monet yritystuotteet ovat pikemminkin arkipäiväisiä kuin huomiota herättäviä: ajattele esimerkiksi tulostimia ja verkkotallennuslaitteita (NAS). Niissä on myös usein paljon tietoturvaongelmia.

Siksi hallitus pitää lupauksensa edistää sisäänrakennettua turvallisuutta kaikissa teknologioissa – erityisesti niissä, jotka ovat niin tärkeitä yritysten tuottavuudelle ja tehokkuudelle. Kuitenkin se on Näkemysten pyyntö yritysten verkkoon kytkettyjen laitteiden kyberturvallisuudesta on vasta ensimmäinen askel mahdollisesti pitkällä matkalla kohti yritysten IoT-perusturvallisuuden parantamista. Ratkaisevaa on, mitä tapahtuu seuraavaksi.

Kuinka huono IoT-tietoturva on?

Poliittisten toimien tarpeen havainnollistamiseksi hallitus tilasi NCC Groupilta selvityksen haavoittuvuuden arviointi joistakin yleisesti käytetyistä yrityskäyttöön kytketyistä laitteista. Se ei ole erityisen kaunista luettavaa.

Kyberturvallisuusasiantuntija arvioi yhteensä kahdeksan tuotetta: huippuluokan ja edullisen IP-kameran, NAS-laitteen, kokoushuonepaneelin ja VoIP-laitteen. Löydettyjen 50 ongelman joukossa yksi luokiteltiin kriittiseksi, yhdeksän korkean riskin ja 24 keskitason riskin ongelmaksi. Kriittinen ongelma oli edullisin NAS-laite, joka ei vaatinut käyttäjiä vaihtamaan oletussalasanaa käynnistyksen yhteydessä. NCC Group löysi kuitenkin runsaasti muita ongelmia, kuten:

  • Useita "vakavia" etäkoodin suorittamisen haavoittuvuuksia, jotka voivat johtaa koko laitteen haltuunottoon todentamattoman hyökkääjän toimesta
  • Vanhentunut ohjelmisto useilla laitteilla, mukaan lukien yli 15 vuotta vanha huippuluokan IP-kameran käynnistysohjelma
  • Ei suojaa hyökkääjää vastaan, jolla on fyysinen pääsy laitteeseen ja joka haluaa murtautua ja asentaa siihen pysyvän takaoven
  • Useimmat laitteet ajavat kaikkia prosesseja "root"-käyttäjänä, mikä voi antaa hyökkääjälle rajoittamattoman hallinnan laitteeseen
  • Palveluiden, sovellusten ja ominaisuuksien epävarma konfigurointi
  • Epätasainen noudattaminen NCSC:n laiteturvallisuusperiaatteet ja ETSI EN 303 645 -standardi

”Monet IoT-laitteet suorittavat prosesseja, jotka voivat lisätä koko järjestelmän vaarantumisen riskiä. Havaitsimme, että nämä tietoturva-aukot ovat usein seurausta kiireellisestä kehityksestä, kustannussäästötoimenpiteistä tai pyrkimyksistä vähentää valvonnan monimutkaisuutta”, NCC Groupin tietoturvatutkimuspalveluiden johtaja Jon Renshaw kertoo ISMS.online-sivustolle.

”Nurkkien karsimisen seuraukset ovat usein kauaskantoisia ja vaikuttavat siihen, kuinka monet organisaatiot ottavat käyttöön IoT-ratkaisujaan.”

Kolme vaihtoehtoa pöydällä

Hallituksen lausuntopyyntöasiakirjan mukaan yritysten IoT-markkinoilla on kaksi päähaastetta. Ensimmäinen on valmistajat itse. Siinä väitetään, että tiede-, innovaatio- ja teknologiaministeriön (DSIT) ja kansallisen kyberturvallisuuskeskuksen (NCSC) vuonna 11 tuottaman parhaiden käytäntöjen oppaan "2022 periaatetta" koskeva "tietoisuus ja omaksuminen" on "pysynyt alhaisena".

Toinen ongelma on IT-ostajat. Viittaaminen tiedot Hallituksen mukaan 2021 % Yhdistyneen kuningaskunnan yrityksistä ei vaadi vuodesta 58 lähtien "mitään turvallisuus- tai hankintatarkastuksia" investoidessaan uusiin verkkoon kytkettyihin laitteisiin. Tämän seurauksena ne käyttävät laitteita, joissa on turvattomat kokoonpanot, vanhentunut ohjelmisto ja riittämättömät turvaominaisuudet.

Siksi hallitus ehdottaa kaksivaiheista suunnitelmaa. Ensimmäisessä vaiheessa laaditaan yritysten verkkoon kytkettyjen laitteiden tietoturvaa koskevat käytännesäännöt, jotka perustuvat 11 periaatetta käsittelevään asiakirjaan. Tämä auttaa valmistajia suunnittelemaan ja rakentamaan turvallisempia tuotteita ja auttaa potentiaalisia ostajia tekemään tietoisempia ostopäätöksiä.

Toisessa vaiheessa hallitus pyrkii eniten saamaan panosta teollisuudelta. Sen kolme ehdotusta "poliittisiksi interventioiksi" ovat:

  1. Vapaaehtoinen lupaus jonka yritysten IoT-laitteiden valmistajat allekirjoittaisivat todistaakseen markkinoille suhtautuvansa tietoturvaan vakavasti. Vaikka se ei ole oikeudellisesti sitova, se edellyttäisi allekirjoittajilta julkista sitoutumista "osoittamaan mitattavissa olevaa edistystä" käytännesääntöjen periaatteiden suhteen "tietyssä aikataulussa".
  2. Uusi maailmanlaajuinen standardi suunniteltu rakentamaan olemassa olevien standardien, kuten ETSI EN 303 645:n ja luonnoksen ISO 27402:n, pohjalle ja olemaan niiden mukainen. Tämä standardi perustuisi myös käytännesääntöihin ja pyrkisi "saavuttamaan kansainvälisen yhteisymmärryksen siitä, miltä parhaat käytännöt näyttävät". Tämä kuuluu kuitenkin pikemminkin "porkkana" kuin "keppi" -lähestymistapaan, koska teoriassa myös vaatimustenmukaisuus olisi vapaaehtoista.
  3. uusi lainsäädäntö tarkoituksena on kirjata 11 periaatetta/käytännesääntöjä lakiin. Tämä voisi tapahtua laajentamalla Product Security and Telecommunications Infrastructure (PSTI) Act 2022 -laki tai erillinen laki. Hallitus myöntää, että esineiden internetin toimitusketjujen globaalin luonteen vuoksi lainsäädäntö on usein ainoa tapa varmistaa, että valmistajat noudattavat parhaita käytäntöjä.

”Toisin kuin kuluttajilla, yrityksillä on paremmat valmiudet varmistaa tärkeiden tietoturvatoimenpiteiden käyttöönotto, kuten omistautunut henkilöstö, joka varmistaa, että tietoturvapäivitykset otetaan nopeasti käyttöön ongelmien korjaamiseksi, ja parempi ymmärrys heidän verkostaan”, hallitus toteaa. ”Siksi harkitsemme erityisten velvoitteiden asettamista yrityksille ja muille loppukäyttäjille tiettyjen toimien toteuttamiseksi.”

The IoT Security Foundationin (IoTSF) toimitusjohtaja John Moor suhtautuu myönteisesti hallituksen kiinnostukseen lisätä tietoisuutta laiteturvallisuudesta ja olla yhteydessä toimialaan sen selvittämiseksi, ”onko käyttäytymisen kannustaminen vai pakottaminen asianmukaisinta huolellisuusvelvollisuuden kannalta”.

Hän kertoo ISMS.online-sivustolle, että vaikka vapaaehtoinen koodi näyttää "järkevältä" ajatukselta, uuden turvallisuuteen liittyvän standardin luominen ei välttämättä ole oikea tie, koska se todennäköisesti lisää monimutkaisuutta. Siksi Moor kannattaa vaihtoehtona olemassa olevan standardin laajentamista. Hän on myös skeptinen uuden sääntelyn suhteen.

”Vaikein osa on se, miten saada aikaan tarvittava muutos – säilyttää tasapaino turvatoimien ja innovaatioiden tukahduttamisen tai reaktiivisten, aikomusta vastaan ​​toimivien käyttäytymismallien kannustamisen välillä”, Moor väittää.

”Olen oppinut viimeisten 10 vuoden aikana, että tämäntyyppistä sääntelyä on käytännössä mahdotonta saada oikein – edes PSTI-laki, jossa on kolme yksinkertaista vaatimusta, ei ole suoraviivainen, ja olemme tietoisia useista alan esittämistä perusteltuista huolenaiheista.”

Moor väittää, että ”uuden sääntelykoneiston myötä syntyy komplikaatioita ja kustannukset kasvavat nopeasti”, joten uutta lainsäädäntöä tulisi pitää viimeisenä keinona vasta, kun kaikki muut vaihtoehdot on käytetty loppuun.

NCC Groupin Renshaw suhtautuu sääntelyyn myönteisemmin ja väittää, että se voi edistää käyttäytymisen muutoksia IoT-valmistajien keskuudessa.

”Lainsäädännön tulisi edellyttää valmistajilta: riippumattomien kolmannen osapuolen arviointeja tuotteilleen ennen niiden julkaisua; asianmukaista huolellisuutta toimitusketjuissaan; tuotteisiinsa vaikuttavien tietoturvahaavoittuvuuksien huomioon ottamista; ja valmistajien ja loppukäyttäjien/asiakkaiden roolien ja vastuiden selvittämistä”, hän jatkaa.

”Kun lainsäädäntö on näissä kohdissa yhdenmukaistettu, se suojaa tietoja kaikissa liiketoimintaekosysteemeissä ja varmistaa, että valmistajat ottavat vastuun tuotteidensa turvallisuudesta.”

Sillä välin

Mikään yllä mainituista kolmesta vaihtoehdosta ei ole toisensa poissulkeva, ja hallitus on kysynyt toimialalta, pitäisikö harkita myös muita toimenpiteitä. Tämä vie kuitenkin aikaa. Näkemysten jättäminen päättyy 7. heinäkuuta, mutta aikataulu sen jälkeen on epäselvä. Sillä välin yritysten IT-johtajien on varmistettava, että heidän ostamansa ja käyttöönottamansa laitteet ovat turvallisia.

”IoT-ostajien on ensin ymmärrettävä omat tarpeensa paremmin ja sitten verrattava niitä markkinoiden tarjontaan. Kun he ymmärtävät vaatimuksensa – joihin on kuuluttava jatkuva ylläpito ilmoitetun käyttöiän aikana – on kyse parhaiden toimittajien valitsemisesta näihin tarpeisiin”, Moor sanoo.

”Valmistajia tulisi testata heidän ”turvallinen sisäänrakennettuna” -lähestymistapansa ja ylläpitotukensa osalta. Ja ostajien tulisi pyytää vähintään ”turvallisia oletusarvoisesti” -ratkaisuja.”

NCC Groupin Renshaw neuvoo IoT-ostajia valitsemaan toimittajia, joilla on ”vahva tietoturvahistoria ja sitoutuminen alan standardeihin”. Hän lisää, että jatkuva tuki ja säännölliset laiteohjelmistopäivitykset ovat myös tärkeitä. Hän väittää, että verkon puolustajien tulisi lisätä tähän ”vankkaa haavoittuvuuksien hallintaa”, verkon segmentointia ja verkon valvontaa riskien lieventämiseksi.

IoTSF ylläpitää kätevä IoT-tietoturvan varmistuskehys joka kartoittaa kaikki olemassa olevat ja uudet standardit ja määräykset, mukaan lukien tämä ehdotus ja EU:n kyberturvallisuusasetus (CRA). Sekä valmistajat että ostajat voivat käyttää sitä apunaan yhä monimutkaisemman sääntely-ympäristön ymmärtämisessä.