Les fabricants et fabricants d’appareils IoT doivent commencer à sécuriser les appareils dès maintenant, car la communauté des constructeurs au sens large devrait adopter les directives de la loi sur la cybersécurité IoT.

La loi sur la cybersécurité de l’IoT est un bon début pour les professionnels de l’IoT pour implémenter davantage de fonctionnalités de sécurité sur les appareils. Cependant, la sécurisation des actifs grâce à des mesures proactives, y compris des évaluations de la vulnérabilité et des programmes de divulgation, sont des options qui pourraient aider la communauté plus large des constructeurs de maisons à lutter contre les mauvais acteurs.

Signé en décembre 2020, le législation bipartite oblige chaque appareil Internet des objets (IoT) acheté avec de l’argent du gouvernement à le faire Répondre aux normes de sécurité minimales.

Alors que la loi signifie que les gouvernements peuvent s’attendre à des appareils IoT plus sécurisés, les fabricants et les fabricants d’appareils doivent améliorer la sécurité des appareils.

Les constructeurs doivent agir maintenant pour sécuriser les équipements

La mise en œuvre de mesures de sécurité est devenue plus importante pour ceux qui servent le gouvernement, bien que le paysage plus large de l’IdO soit parfois qualifié de Far West en raison du manque de normes de sécurité strictes et communes.

Même dans ce cas, il est essentiel que les fabricants d’appareils mettent en œuvre dès maintenant des mesures de cybersécurité, a souligné le fondateur et PDG de la société de logiciels de sécurité IoT BG Networks, Colin Duggan. Il a averti que les appareils IoT sont les principales cibles des activités malveillantes.

Il ne fait aucun doute que les criminels et les États-nations opposés recherchent et découvrent des vulnérabilités dans les appareils IoT connectés maintenant et à l’avenir – tout comme ils découvrent actuellement des vulnérabilités dans les systèmes informatiques, a-t-il déclaré.

Duggan a suggéré que les acteurs malveillants testent constamment les limites de leurs objectifs Piratage de la caméra de surveillance Verkadas insistent sur le fait que ces acteurs n’ont pas à avoir un motif clair derrière eux, car un prétendu point de vue idéologique a suscité le désir de s’introduire dans des appareils.

Le National Institute of Standards and Technology (NIST) des États-Unis a le Cadre de cybersécurité, mais ce n’est pas une approche universelle.

Les fabricants et les fabricants d’appareils doivent être conscients que certains appareils doivent être plus sécurisés que d’autres – soit les données qu’ils contiennent sont plus sensibles, soit les violations peuvent créer des problèmes potentiels de sécurité ou de fonctionnement, car de nombreux appareils IoT contrôlent les choses et les actions physiques, a déclaré Duggan.

Yaniv Nissenboim, vice-président du développement commercial chez Vdoo, a fait écho à Duggan, suggérant que les fabricants d’appareils devraient commencer à «aligner ces politiques maintenant» afin qu’ils soient prêts à agir et à les désamorcer une fois que les nouvelles réglementations auront vraiment pris forme.

Implications à long terme de l’IoT Cybersecurity Act

À court terme, la cybersécurité des appareils IoT n’est plus considérée comme une réflexion après coup, le marché privé recevant une lumière brillante dans le ciel à suivre comme exemple.

Cependant, les implications à long terme de la loi imposent aux fabricants d’appareils une plus grande obligation de réfléchir aux implémentations de sécurité.

Brian Carpenter, directeur du développement commercial chez CyberArk, a souligné que les fabricants et fabricants d’appareils devraient réfléchir à la manière dont ces réglementations à venir seront appliquées et à la manière dont les clients peuvent gérer et sécuriser les connexions vers et depuis les appareils IoT.

« Les clients … ne veulent pas de solutions de sécurité isolées qui gèrent une partie de leurs risques – ils ont besoin d’une vue unique de leurs risques pour les gérer correctement », a déclaré Carpenter.

Les développeurs IoT qui créent des appareils avec des mesures avancées et efficaces telles que les mises à jour de micrologiciels sécurisés, les correctifs et la gestion des identités peuvent s’intégrer dans les stratégies d’atténuation des risques de leurs clients et obtenir un avantage concurrentiel, a-t-il déclaré.

Les fabricants et les fabricants d’appareils n’étaient pas au centre de cette législation – après que les politiciens américains bipartis aient apporté une multitude de changements réglementaires pour empêcher les États voyous d’empiéter sur l’infrastructure technologique du pays. Bien que ce problème se soit creusé au fil du temps, plusieurs textes législatifs visent à enrayer le chaos causé par ces individus. Russie, Chine, L’Iran, et Corée du NordCe changement particulier aidera certainement les constructeurs à long terme.

En fin de compte, en fournissant des directives pour une sécurité renforcée, les fabricants doivent répondre aux besoins des clients, les directives du NIST étant susceptibles d’être converties en nouvelles lois au niveau fédéral ou au niveau de l’État, a suggéré Carpenter.

Une définition large est une bonne définition

Duggan a déclaré que la définition de la législation sur les appareils IoT est «bonne parce que les appareils dotés d’interfaces réseau peuvent potentiellement ajouter des vulnérabilités au réseau».

La loi sur la cybersécurité IoT Définition de ce qui constitue un appareil IoT Etats: Un appareil doit « avoir au moins un convertisseur (capteur ou actionneur) pour une interaction directe avec le monde physique et au moins une interface réseau ».

Duggan a déclaré que cela signifie que la loi jette un large Web tout en précisant également que les smartphones ou les ordinateurs portables ne sont pas inclus car « la mise en œuvre des fonctionnalités de cybersécurité est déjà bien comprise ».

Cependant, la limite qu’il a soulignée était l’absence de mandat spécifique obligeant les agences gouvernementales à utiliser des dispositifs cybersécurité.

Duggan renvoyé à la Commission économique des Nations Unies pour l’Europe (CEE-ONU) WP.29 Règlement sur les véhicules automobilesdéclarant que d’ici juillet 2024, tous les véhicules nouvellement produits doit inclure la cybersécurité basée sur une approche de sécurité dès la conception et sont capables d’effectuer des mises à jour logicielles.

Il a décrit la loi sur la cybersécurité de l’Internet des objets comme «pas aussi solide que les exigences de la CEE-ONU» et que se conformer aux activités de la CEE serait une bonne étape en termes d’amélioration de la sécurité. « Le [UNECE] La réglementation oblige les changements dans l’industrie automobile à mettre pleinement en œuvre la cybersécurité nécessaire dans les voitures », a-t-il ajouté.

Concernant les autres restrictions imposées aux fabricants et fabricants d’appareils, Nissenboim a rappelé que la loi ne s’applique qu’aux entreprises qui vendent des appareils IoT au gouvernement fédéral. Néanmoins, il a admis que les gouvernements des États et les entreprises privées essaieront également d’adopter leurs principes et lignes directrices.

« De plus, de plus en plus de normes et de réglementations internationales en matière de cybersécurité IoT sont en cours d’élaboration », a-t-il déclaré, ajoutant que les réglementations contribueraient à renforcer le niveau de sécurité pour les milliards d’appareils connectés fabriqués chaque année dans différents secteurs.

Problèmes à résoudre avec l’IoT Cybersecurity Act

Bien que la réglementation ait été saluée par les observateurs, des problèmes persistent pour les fabricants et les fabricants d’appareils, en particulier ceux qui ne vendent pas au gouvernement américain.

Les constructeurs doivent se retirer pour évaluer les effets roulants de la loi. Bien que la loi ne les oblige pas à effectuer des évaluations de sécurité sur les appareils, alors que le nombre d’attaques monte en flèche, des conseils peuvent être nécessaires pour distraire les violations.

Nissenboim a déclaré que cette analyse et cette surveillance doivent être automatisées et gérées à la fois par la sécurité des produits et par les acteurs techniques qui doivent prendre en charge ces processus importants.

Carpenter de CyberArk a averti que les connexions à distance aux appareils IoT restaient un défi majeur en termes de mises à jour du micrologiciel, de gestion des informations d’identification et de maintenance.

Carpenter a exprimé l’espoir d’en trouver dans les directives finales liées aux questions actuellement non réglementées. « D’autant que l’effectif continue de croître », a-t-il ajouté.





Source link

Recent Posts