Bagi konsumen, pertumbuhan Internet of Things (IoT) berarti semakin banyak objek di rumah mereka yang sekarang terhubung ke internet, dan berpotensi berisiko terkena serangan siber, atau mengungkapkan data pribadi dalam pelanggaran privasi.
Selama beberapa tahun terakhir, kata Alex Leadbeater, ketua, ETSI Komite Teknis Keamanan Cyber (TC CYBER), semakin banyak laporan tentang masalah IoT konsumen semacam ini. Misalnya, peneliti keamanan baru-baru ini menemukan bahwa ZipaMicro , hub rumah pintar, menggunakan kunci pribadi yang sama di setiap hub, dikodekan ke dalam perangkat. Dikombinasikan dengan sandi acak yang mereka temukan di internet, ini memungkinkan para peneliti untuk membuka kunci yang dikendalikan oleh hub.
Perangkat yang berisiko termasuk mainan yang terhubung, yang mungkin berisi kamera dan mikrofon yang dapat diakses dari jarak jauh. Selain serangan melalui internet, beberapa mainan sekarang menggunakan Bluetooth, yang merupakan kelemahan potensial. Speaker pintar, seperti Amazon Echo, juga rentan terhadap peretas yang mendengarkan percakapan pribadi.
Masalah semacam ini biasanya diperbaiki dengan cepat oleh vendor perangkat setelah mereka diberitahu tentang produk baru, tetapi itu mungkin sudah terlambat dan ada pendekatan yang tidak konsisten untuk memperbaiki atau memanggil kembali yang sudah ada di pasar. Pemerintah berusaha untuk membawa undang-undang untuk mengamanatkan standar yang lebih tinggi – misalnya, Inggris sedang berkonsultasi tentang undang-undang baru, yang mungkin mencakup pelabelan wajib produk dan standar minimum. AS tidak jauh di belakang, dengan California sudah melarang kata sandi default umum. Kemudian dalam hal perlindungan data, ada undang-undang seperti GDPR UE yang berlaku untuk semua informasi pribadi yang disimpan.
Namun hal ini dapat menyulitkan vendor produk – bagaimana mereka dapat memastikan bahwa mereka memenuhi serangkaian persyaratan yang berbeda secara hemat di berbagai negara, di pasar yang berubah dengan cepat di mana peraturan masih ditentukan?
Untuk mengatasi masalah ini, ETSI baru-baru ini mengumumkan ETSI TS 103 645, standar global pertama untuk keamanan IoT konsumen. Standar baru ini bertujuan untuk menetapkan tolok ukur bagaimana perusahaan harus mengamankan produk konsumen apa pun yang akan terhubung ke internet, dan untuk mempromosikan praktik terbaik.
Pada saat yang sama, telah ditulis dengan fokus pada hasil daripada metodologi khusus, yang berarti ada fleksibilitas yang cukup untuk memungkinkan perusahaan berinovasi dan menemukan solusi terbaik untuk produk khusus mereka. Standar ini bertujuan untuk memenuhi kebutuhan berbagai perangkat yang terhubung, termasuk mainan, pelacak kebugaran yang dapat dikenakan, asisten rumah pintar, TV pintar, kunci pintu, dan sistem otomatisasi rumah.
Mari kita lihat saran dalam standar baru ETSI, dan bagaimana hal itu akan membuat perangkat konsumen yang terhubung menjadi lebih aman.
Pertama, standar mengatakan bahwa semua kata sandi perangkat harus unik – mengatasi masalah saat ini di mana banyak produk dijual dengan nama pengguna dan kata sandi default, yang sering tidak diubah oleh pengguna. Ia juga mengatakan seharusnya tidak mungkin untuk mengatur ulang kata sandi kembali ke default. Mengejutkan bahwa banyak produk di pasar belum memenuhi persyaratan ini atau persyaratan yang lebih mendasar lainnya dalam standar baru.
Perlindungan data pribadi adalah bagian penting dari standar, dan mengharuskan semua informasi sensitif disimpan dengan aman – baik di perangkat itu sendiri, dan di layanan terkait apa pun, seperti di cloud. Perangkat tidak boleh memiliki kredensial hard-code, karena ini relatif mudah ditemukan.
Produk perlu memberikan kemudahan bagi konsumen untuk menghapus data pribadi mereka kapan pun mereka mau, dengan instruksi yang jelas disediakan. Demikian pula, pemasangan dan penggunaan perangkat IoT harus sederhana dan terdokumentasi dengan baik. Data juga harus dilindungi dan dienkripsi saat sedang dikomunikasikan. Perangkat harus memberikan perlindungan yang sesuai terhadap serangan enkripsi.
Semua perangkat yang terhubung harus mengikuti praktik rekayasa keamanan yang baik, seperti menutup perangkat lunak yang tidak digunakan dan port jaringan untuk meminimalkan risiko serangan. Setiap data yang dimasukkan harus divalidasi, untuk mencegah eksploitasi seperti penggunaan nilai di luar rentang. Perangkat juga harus dapat memverifikasi perangkat lunaknya menggunakan semacam mekanisme boot aman berbasis perangkat keras, dan untuk menangani pemadaman listrik atau jaringan dengan sukses.
Selain persyaratan untuk perangkat itu sendiri, standar ETSI memiliki tuntutan khusus untuk vendor produk. Ini termasuk mencari, dan menindaklanjuti, kerentanan dengan segera.
Dan perangkat lunak perangkat harus dapat diperbarui dengan mudah dan aman.
Konsumen patut khawatir tentang keamanan IoT. Standar baru adalah cara yang sangat berharga bagi vendor untuk membangun kembali kepercayaan dengan pelanggan mereka. Dengan mengikuti panduannya, produsen dapat memastikan produk mereka memenuhi tingkat keamanan dan privasi yang sesuai. Ini berarti bahwa pelanggan dilindungi, dan perusahaan dapat menghindari pelanggaran yang mahal, dan dampak publisitas negatif.
Lebih penting lagi, standar ETSI adalah langkah perubahan bagi konsumen, memberi mereka keyakinan bahwa keselamatan, privasi, dan keamanan mereka tidak akan terancam dengan menggunakan perangkat yang terhubung.
Anda dapat membaca standar ETSI di sini
Penulisnya adalah Alex Leadbeater, ketua, Komite Teknis Keamanan Cyber ETSI (TC CYBER).
Teknologi Internet of Things
Setiap tren teknologi baru membawa spekulasi dan pembicaraan tentang aplikasi pembunuh yang akan menjadi solusi untuk semua masalah kita. Publikasi teknologi dan blog menghasilkan artikel yang tak terhitung banyaknya yang mencari aplikasi pembunuh untuk iPhone, Cloud, Blockchain, Artificial Intell
Ada saat ketika fakta bahwa proyek TI besar melampaui anggaran dan dikirimkan melewati tanggal pengiriman bukanlah hal yang luar biasa; itu hampir setara untuk kursus. Jadi mengapa harus Internet of Things (IoT), yang mencakup komputasi dan teknologi komunikasi berbeda, tanya penulis teknologi lepas
Mengapa perusahaan harus mengadopsi IoT? Nah, T di IoT adalah singkatan dari Things dan ada banyak sekali Hal, tidak hanya di perusahaan Anda, tetapi di mobil Anda, di rumah Anda, di perawatan kesehatan Anda, supermarket, bahkan di dapur takeaway favorit Anda. Daftarnya bertambah setiap hari, hampir
Macronix International, pemasok global produk ROM, telah menyusun webinar menarik yang mengulas praktik terbaik dan tips terkait mengamankan memori flash di IoT dan perangkat edge. Dari deskripsi webinar: Webinar ini akan menyoroti tren keamanan terkemuka dalam memori untuk segmen komputasi yang m
