Bagi banyak tim pengembangan IoT, keamanan tetap menjadi item daftar keinginan yang dianggap tidak sebanding dengan biaya dan upaya yang diperlukan untuk implementasi dalam produk konsumen. Konsumen tampaknya tidak mau membayar ekstra untuk fitur keamanan siber yang ditingkatkan atau untuk menghindari produk yang tidak memiliki fitur tersebut. Namun, aktivitas legislatif mulai menjadikan keamanan sebagai persyaratan hukum untuk desain IoT konsumen.
Berbicara di IoT World Today's IoT Security Summit, manajer program untuk Institut Nasional Standar dan Teknologi (NIST) AS Katerina Megas menunjukkan bahwa undang-undang yang mengharuskan perangkat IoT untuk memasukkan keamanan sudah ada di buku di beberapa negara bagian, dan sedang ditambahkan ke hukum federal juga. Pada Januari 2020, Megas mencatat, baik California dan Oregon memberlakukan undang-undang yang mengharuskan produsen perangkat yang terhubung di negara bagian mereka untuk melengkapi perangkat mereka dengan “fitur keamanan yang wajar.” Selain itu, beberapa negara bagian tambahan – termasuk Illinois, Massachusetts, New York, dan Virginia – memiliki undang-undang serupa yang tertunda atau sedang dipertimbangkan.
Megas juga mencatat bahwa Pemerintah AS mulai membuat undang-undang yang mengamanatkan keamanan IoT. DPR AS, misalnya, memperkenalkan H.R. 1668 – The Internet of Things Cybersecurity Improvement Act of 2020 pada bulan Maret. Undang-undang tersebut menyerukan penciptaan “standar dan pedoman bagi Pemerintah Federal tentang penggunaan dan pengelolaan yang tepat oleh lembaga perangkat Internet of Things yang dimiliki atau dikendalikan oleh suatu lembaga dan terhubung ke sistem informasi yang dimiliki atau dikendalikan oleh suatu lembaga, termasuk keamanan informasi minimum. persyaratan untuk mengelola risiko keamanan siber yang terkait dengan perangkat tersebut.” Ini melewati DPR dan Senat dan ditandatangani menjadi undang-undang pada tanggal 4 Desember; standar dan pedoman harus diterbitkan dalam waktu 90 hari.
Hukum yang mengamanatkan agar fitur keamanan diimplementasikan di perangkat IoT kini mulai diberlakukan.
Meskipun H.R. 1668 hanya berlaku untuk sistem IoT yang digunakan Pemerintah AS, ini menandai awal dari mandat keamanan siber yang pada akhirnya akan berlaku di seluruh AS untuk sistem industri dan konsumen juga. Pada tahun 2019, Kongres membentuk Komisi Solarium Cyberspace untuk mengembangkan pendekatan strategis bagi AS untuk mempertahankan diri di dunia maya. Laporan pertama komisi itu berisi lebih dari 80 rekomendasi, termasuk lebih dari 50 proposal legislatif untuk membantu menerapkan strategi pertahanan berlapis komisi. Banyak dari proposal ini tidak hanya memengaruhi sistem pemerintah, tetapi juga berlaku untuk sistem industri dan konsumen.
Tiga proposal spesifik pantas mendapat perhatian serius dari tim pengembangan IoT. Salah satunya meminta AS untuk mengesahkan undang-undang keamanan IoT yang mengamanatkan “langkah-langkah keamanan yang wajar” sejalan dengan rekomendasi NIST seperti NISTIR 8259 — Aktivitas Keamanan Siber Dasar untuk Produsen Perangkat IoT. Proposal lain menyerukan pembentukan Otoritas Sertifikasi dan Pelabelan Keamanan Siber Nasional, yang akan memverifikasi kepatuhan perangkat IoT dengan persyaratan. Selanjutnya, proposal ini meminta otoritas tersebut untuk memperluas cakupannya di luar sistem IoT federal dan industri untuk mencakup elektronik pribadi dan konsumen.
Proposal ketiga yang patut mendapat perhatian memiliki potensi untuk mengesampingkan keberatan ekonomi apa pun untuk menerapkan keamanan IoT dalam desain yang mungkin tetap ada. Proposal ini menyerukan pembentukan tanggung jawab untuk perakit barang jadi. Jika diterapkan, produsen perangkat IoT yang dijual akan bertanggung jawab atas kerusakan jika perangkat mereka gagal melindungi dari kerentanan yang diketahui. Dengan kata lain, keamanan IoT akan menjadi fitur yang “harus dimiliki”, baik untuk menarik konsumen berbelanja lebih banyak atau tidak. Risiko tidak menerapkan keamanan akan terlalu tinggi.
“Fitur keamanan yang masuk akal” yang diminta oleh semua undang-undang ini masih, belum, hanya didefinisikan secara samar. Dalam undang-undang California dan Oregon, menurut Megas, definisi "wajar" hanya memerlukan tindakan yang sesuai dengan fungsi perangkat dan informasi yang ditanganinya, dan berupaya mencegah akses, pengungkapan, penggunaan, modifikasi, atau penghancuran yang tidak sah. informasi itu. Tindakan khusus tidak ditentukan.
Mereka juga tidak mungkin. Seperti yang ditunjukkan Megas dalam presentasinya, filosofi panduan untuk NIST dalam merekomendasikan langkah-langkah keamanan siber adalah bahwa satu ukuran tidak cocok untuk semua. Oleh karena itu, tindakan khusus tidak dikodekan ke dalam undang-undang ini. Sebaliknya, upaya tersebut mengambil pendekatan berbasis hasil. Undang-undang yang akan datang yang akan membutuhkan desain IoT untuk menerapkan keamanan siber tidak akan menentukan bagaimana hal ini harus dilakukan. Tekad itu masih akan terletak pada tim pengembangan. Namun kebutuhan akan keamanan IoT, dan fungsionalitas penerapannya, berada di jalur yang tepat untuk berkembang dari akal sehat menjadi persyaratan hukum.
>> Artikel ini awalnya diterbitkan pada situs saudara kami, EDN.
